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INTRODUCTION 


出 版 说 明 


随 着 国家 信息 化 步伐 的 加 快 和 高 等 教育 规模 的 扩大 ,社会 对 计算 机 专业 
人 才 的 需求 不 仅 体现 在 数量 的 增加 上 ,而 且 体 现在 质量 要 求 的 提高 上 ,培养 
具有 研究 和 实践 能 力 的 高 层次 的 计算 机 专业 人 才 已 成 为 许多 重点 大 学 计算 
机 专业 教育 的 主要 目标 。 目 前 ,我 国共 有 16 个 国家 重点 学 科 , 名 个 博士 点 一 
级 学 科 、33 个 博士 点 二 级 学 科 集 中 在 教育 部 部 属 重点 大 学 ,这 些 高 校 在 计算 
机 教学 和 科研 方面 具有 一 定 优势 ,并 且 大 多 以 国际 著名 大 学 计算 机 教育 为 参 
照 系 ,具有 系统 完善 的 教学 课程 体系 教学 实验 体系 教学 质量 保证 体系 和 人 
才 培 养 评估 体系 等 综合 体系 ,形成 了 培养 一 流 人 才 的 教学 和 科研 环境 。 

重点 大 学 计算 机 学 科 的 教学 与 科研 氛围 是 培养 一 流 计算 机 人 才 的 基 
础 ,其 中 专业 教材 的 使 用 和 建设 则 是 这 种 氛围 的 重要 组 成 部 分 ,一 批 具 有 
学 科 方 向 特色 优势 的 计算 机 专业 教材 作为 各 重点 大 学 的 重点 建设 项 目 成 
果 得 到 肯定 。 为 了 展示 和 发 扬 各 重点 大 学 在 计算 机 专业 教育 上 的 优势 , 特 
别 是 专业 教材 建设 上 的 优势 ,同时 配合 各 重点 大 学 的 计算 机 学 科 建设 和 专 
业 课 程 教学 需要 ,在 教育 部 相关 教学 指导 委员 会 专家 的 建议 和 各 重点 大 学 
的 大 力 支持 下 ,清华 大 学 出 版 社 规划 并 出 版 本 系列 教材 。 本 系列 教材 的 建 
设 旨 在 “汇聚 学 科 精 英 、 引 领 学 科 建设 ,培育 专业 英才 ”, 同 时 以 教材 示范 各 
重点 大 学 的 优秀 教学 理念 ,教学 方法 、 教 学 手段 和 教学 内 容 等 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

1. 面向 学 科 发 展 的 前 沿 , 适 应 当前 社会 对 信息 安全 专业 高 级 人 才 的 培养 
需求 。 教 材 内 容 以 基本 理论 为 基础 ,反映 基本 理论 和 原理 的 综合 应 用 ,重视 
实践 和 应 用 环节 。 

2 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 能 适应 多 样 化 的 教学 需要 , 正 
确 把 握 教 学 内 容 和 课程 体系 的 改革 方向 。 在 选择 教材 内 容 和 编写 体系 时 注 
意 体现 素质 教育 、 创 新 能 力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协 调 
发 展 创造 条 件 。 

3 实施 精品 战略 ,突出 重点 ,保证 质量 。 规 划 教 材 建设 的 重点 依然 是 专 
业 基 础 课 和 专业 主干 课 ; 特别 注意 选择 并 安排 了 一 部 分 原来 基础 比较 好 的 优 
秀 教 材 或 讲义 修订 再 版 ,逐步 形成 精品 教材 ; 提倡 并 鼓励 编写 体现 重点 大 学 
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信息 安全 专业 教学 内 容 和 课程 体系 改革 成 果 的 教材 。 

4 主张 一 纲 多 本 ,合理 配套 。 专 业 基础 课 和 专业 主干 课 教材 要 配套 ,同一 门 课程 可 以 有 
多 本 具有 不 同 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 的 关系 ; 基本 教材 与 辅助 教材 
以 及 教学 参考 书 的 关系 ; 文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 配套 。 

5 依靠 专家 ,择优 落实 。 在 制订 教材 规划 时 要 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主编 。 书 稿 完 成 后 要 认真 实行 审 稿 程序 ,确保 出 书 质量 。 
繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


教材 编 委 会 


丛书 序 


随 着 信息 技术 与 产业 的 快速 发 展 ,信息 和 信息 系统 已 经 成 为 现代 社会 中 
最 为 重要 的 基础 资源 之 一 。 人 们 在 享受 信息 技术 带 来 的 便利 的 同时 ,诸如 黑 
客 攻 击 、 计 算 机 病毒 泛滥 等 信息 安全 事件 也 层出不穷 ,信息 安全 的 形势 是 严 
峻 的 。 党 的 十 八大 明确 指出 要 “高 度 关 注 海洋 .太空 ,网 络 空间 安全 ”。 加 快 
国家 信息 安全 保障 体系 建设 ,确保 我 国 的 信息 安全 ,已 经 成 为 我 国 的 国家 战 
略 。 而 发 展 我 国信 息 安全 技术 与 产业 对 于 确保 我 国信 息 安 全 具有 重要 
意义 。 

信息 安全 作为 信息 技术 领域 的 朝阳 产业 , 耿 须 大 量 的 高 素质 人 才 。 但 与 
此 相悖 的 是 ,目前 我 国信 息 安 全 技术 人 才 的 数量 和 质量 远 不 能 满足 社会 的 实 
际 需求 。 因 此 ,培养 大 量 的 高 素质 ,高 技术 信息 安全 专业 人 才 已 成 为 我 国 本 
科 高 等 工程 教育 领域 的 重要 任务 。 

信息 安全 是 一 门 集 计 算 机 、 通 信 、 电 子 、 数 学 、 物 理 、 生 物 、 法 律 , 管 理 和 教 
育 等 学 科 知识 为 一 体 的 交叉 型 新 学 科 。 探 索 该 学 科 的 培养 模式 和 课程 设置 
是 信息 安全 人 才 培 养 的 首要 问题 。 为 此 ,电子 科技 大 学 计算 机 科学 与 工程 学 
院 信 息 安全 专业 的 专家 学 者 和 工作 在 教学 一 线 的 老师 们 ,以 我 国 本 科 高 等 工 
程 教育 人 才 培 养 目标 为 宗旨 ,组 织 了 一 系列 信息 安全 的 研讨 活动 ,认真 研讨 
了 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,在 进行 了 大 量 前 瞻 
性 研究 的 基础 上 ,启动 了 “重点 大 学 信息 安全 专业 系列 教材 ”的 编写 工作 。 该 
套 系列 教材 由 《信息 安全 概论 》《 计 算 机 系统 与 网 络 防御 技术 》《PK 原理 与 技 
术 》《 网 络 安全 协议 》《 信 息 安 全 数学 基础 》《 密 码 学 基础 》 等 构成 。 全 方 
位 、 多 角度 地 阐述 信息 安全 技术 的 原理 ,反映 当代 信息 安全 研究 发 展 的 趋 
势 ,突出 实践 在 高 等 工程 教育 人 才 培 养 中 的 重要 性 ,为 该 套 丛 书 的 最 大 
特点 。 

感谢 电子 科技 大 学 信息 安全 专业 的 老师 们 为 促进 我 国 高 等 院 校 信息 安 
全 专业 建设 所 付出 的 辛勤 劳动 ,相信 这 套 教材 一 定 会 成 为 我 国 高 等 院 校 信 息 
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安全 人 才 培 养 的 优秀 教材 。 同 时 希望 电子 科技 大 学 的 教师 们 继续 努力 ,培养 出 更 多 、 更 优秀 
的 信息 安全 人 才 ,编写 出 更 多 ,更 好 的 信息 安全 教材 ,为 推动 我 国信 息 安全 事业 的 发 展 做 出 


区 


武汉 大 学 计算 机 学 院 
空 天 信息 安全 与 可 信 计 算 教 育 部 重点 实验 室 


FOREWO RD 


随 着 计算 机 技术 和 通信 技术 为 代表 的 信息 技术 的 发 展 ,人 类 社会 已 经 步 
入 了 信息 化 时 代 。 在 享受 信息 社会 带 来 的 巨大 便利 的 同时 ,我 们 也 不 得 不 面 
对 信息 安全 这 一 严峻 的 问题 。 由 于 信息 系统 自身 的 脆弱 性 和 信息 系统 所 处 
环境 的 复杂 性 ,导致 信息 系统 在 使 用 过 程 中 始终 面临 着 层出不穷 的 安全 风 
险 。 目 前 信息 安全 已 经 成 为 了 广 受 关注 的 问题 ,其 影响 范围 不 仅 涉及 个 人 隐 
私 ,在 国家 的 政治 ,军事 、 经 济 、 文 化 .意识 形态 中 信息 安全 的 地 位 也 日 趋 重 
要 ,信息 安全 业已 成 为 现代 社会 生活 中 不 可 或 缺 的 基础 设施 。 在 这 样 的 背景 
之 下 ,各 行业 对 信息 安全 专业 人 士 的 社会 需求 量 也 逐年 增加 ,本 教材 的 撰写 
正 是 为 了 满足 培养 信息 安全 专业 人 才 的 需要 。 本 教材 全 面 介绍 了 信息 安全 
的 基本 概念 ,原理 和 知识 体系 ,主要 内 容 包括 密码 学 基础 与 应 用 、 网 络 安全 技 
术 、 环 境 与 系统 安全 技术 、 操 作 系统 安全 技术 、 数 据 库 安全 技术 等 内 容 , 是 信 
息 安全 或 计算 机 专业 学 生 学 习 信息 安全 理论 与 技术 的 入 门 教材 。 

本 书 内 容 全 面 , 不 仅 包含 了 信息 安全 理论 知识 ,同时 也 对 信息 安全 的 实 
用 技术 进行 了 介绍 。 全 书 共 13 章 。 第 1 章 概述 ,介绍 信息 安全 目前 的 研究 内 
容 、 典 型 的 信息 安全 模型 和 信息 安全 体系 结构 ,介绍 国内 外 信息 安全 的 标准 
化 发 展 情况 ; 第 2 章 密码 学 概论 ,介绍 信息 安全 中 实用 的 密码 学 基础 理论 和 
技术 ; 第 3 章 介绍 信息 安全 中 常见 的 两 种 技术 手段 一 数字 签名 和 身份 认 
证 ; 第 4 章 FI 技术 ,主要 介绍 与 数字 证 书 相关 的 公共 密 钥 基础 设施 ; 
第 5~ 第 7 章 主要 介绍 防火 墙 .入 侵 检测 、 虚 拟 专用 网 这 三 种 应 用 最 广泛 的 网 
络 安全 技术 ; 第 8~ 第 13 章 分 别 对 访问 控制 网 络 攻击 技术 以 及 信息 系统 应 
用 安全 中 的 环境 与 系统 安全 .操作 系统 安全 ,软件 安全 .数据 及 数据 库 安全 等 
专题 进行 介绍 。 本 书 的 教学 需要 大 约 和 学 时 ,每 章 均 有 习题 ,以 配合 课程 的 
学 习 。 

本 书 由 都 玉 洁 、 吴 立 军 . 赵 洋 . 刘 瑶 共同 编著 完成 ,其 中 吴 立 军 编写 第 2 和 
第 4 章 , 赵 洋 编写 第 5~ 第 7 和 第 9 章 , 刘 瑶 编写 第 8. 第 10~ 第 12 章 ,都 玉 洁 纺 
写 第 1 章 并 负责 全 书 的 统 稿 。 在 编写 过 程 中 ,编者 力求 以 通俗 的 语言 将 自己 
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在 教学 一 线 的 多 年 积累 展示 给 读者 ,使 读者 了 解 信息 安全 的 思想 和 设计 技术 ,以 指导 今后 的 
工作 。 

本 书 配 有 完备 的 教学 课件 ,读者 可 以 从 清华 大 学 出 版 社 网 站 httpywtup.oomo 下 载 。 在 
本 书 和 课件 的 下 载 或 使 用 中 有 任何 问题 ,请 联系 fuhy@ tuptsirghuaeduan。 
9 于 作者 水 平 有 限 , 书 中 难免 有 下 漏 和 错误 之 处 , 居 请 读者 谅解 ,也 希望 专家 和 读者 批 


评 指正 。 


编 者 
2013 年 8 月 
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概 述 第 1 章 


信息 安全 技术 是 一 门 综合 交叉 学 科 ,要 综合 利用 数学 ,物理 .通信 和 计算 
机 诸多 学 科 的 长 期 知识 积累 和 最 新 发 展 成 果 , 进 行 自主 创新 研究 ,加 强项 层 
设计 ,提出 系统 的 、 完 整 的 .协同 的 解决 方案 。 涉 及 信息 论 .计算 机 科学 和 密 
码 学 等 多 方面 知识 ,其 主要 任务 是 研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 
方法 ,以 实现 系统 内 信息 的 安全 、 保 密 、 真 实 和 完整 。 随 着 信息 技术 的 发 展 与 
应 用 ,信息 安全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 信息 保密 性 发 展 到 信息 的 完 
整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 ,进而 又 发 展 为 * 攻 (攻击 )、 防 (防范 )、 测 
(检测 ) 、 控 (控制 ) . 管 (管理 )、 评 (评估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 

21 世纪 是 信息 时 代 , 信 息 的 传递 在 人 们 日 常生 活 中 变 得 非常 重要 ,如 电 
子 商务 、 电 子 邮 件 、 电 子 政务 、 银 行 证 券 等 ,无 时 无 刻 不 在 影响 着 人 们 的 生活 。 
这 样 信息 安全 问题 也 就 成 了 最 重要 的 问题 之 一 。 

信息 系统 的 脆弱 性 主要 体现 在 以 下 几 个 方面 。 

(1) 物理 因素 : 信息 系统 中 物理 设备 的 自然 、 人 为 破坏 所 带 来 的 安全 上 
的 威胁 。 

(2) 网 络 因素 : 网 络 自身 的 缺陷 和 开放 性 。 

(3) 系统 因素 : 信息 系统 软件 复杂 度 越 来 越 高 。 

(4) 应 用 因素 : 不 正确 的 操作 和 人 为 的 蓄意 破坏 。 

(5) 管理 因素 : 管理 制度 ,法规 不 健全 。 

在 信息 交换 中 ,“ 安 全 ”是 相对 的 ,而 “不 安全 ”是 绝对 的 , 随 着 社会 的 发 展 
和 技术 的 进步 ,信息 安全 标准 不 断 提升 ,因此 信息 安全 问题 永远 是 一 个 全 新 
的 问题 。“ 发 展 " 和 “变化 ”是 信息 安全 的 最 主要 特征 ,只 有 紧 紧 抓 住 这 个 特征 
才能 正确 地 对 待 和 处 理 信息 安全 问题 ,以 新 的 防御 技术 来 阻止 新 的 攻击 
方法 。 

信息 安全 系统 的 保障 能 力 是 21 世纪 综合 国力 、 经 济 竞 争 实力 和 民族 生 
存 能 力 的 重要 组 成 部 分 。 因 此 ,必须 努力 构建 一 个 建立 在 自主 研究 开发 基础 
之 上 的 技术 先进 、 管 理 高 效 、 安 全 可 靠 的 国家 信息 安全 体系 ,以 有 效 地 保障 国 
家 的 安全 、 社 会 的 稳定 和 经 济 的 发 展 。 


2 


1.1 信息 安全 的 目标 


信息 安全 是 指 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 恶意 的 
因素 影响 而 遭 到 破坏 、 更 改 、 汇 露 , 系 统 连续 可 靠 正 常 地 运行 ,使 信息 服务 不 中 断 。 也 可 以 
说 ,所 谓 信息 安全 ,一 般 是 指 在 信息 采集 、 存 储 、 处 理 \ 传 播 和 运用 过 程 中 ,信息 的 自由 性 、 秘 
密 性 、 完 整 性 、 共 享 性 等 都 能 得 到 良好 保护 的 一 种 状态 。 这 两 种 对 信息 安全 的 定义 ,目标 是 
一 致 的 ,但 侧重 点 不 同 ,前 者 注重 动态 的 特性 ,后 者 注重 静态 的 特性 。 国 际 标准 化 组 织 
(International Organization for Standardization ,ISO) 定 义 信息 安全 (Information Security) 
为 :“ 为 数据 处 理 系 统 建立 和 采取 的 技术 和 管理 的 安全 保护 ,保护 计算 机 硬件 、 软 件 和 数据 
不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 .更 改 和 泄漏 ”。 

早期 计算 机 网 络 的 作用 是 共享 数据 并 促进 大 学 ,政府 研究 和 开发 机 构 .军事 部 门 的 科学 
研究 工作 。 那 时 制定 的 网 络 协议 ,几乎 没有 注意 到 安全 性 问题 。 在 人 们 眼 里 ,网 络 是 十 分 安 
全 可 靠 的 ,没有 人 会 受到 任何 伤害 ,因为 许可 进入 网 络 的 单位 都 被 认定 是 可 靠 的 和 可 以 信赖 
的 ,并 且 已 经 参与 研究 和 共享 数据 ,大 家 在 网 络 中 都 得 到 各 种 服务 。 然 而 , 当 1991 年 美国 国 
家 科学 基金 会 (National Science Foundation, NSF) 取 消 了 互联 网 上 不 允许 商业 活动 的 限制 
后 , 越 来 越 多 的 公司 企业、 商业 机 构 、 银 行 和 个 人 进入 互联 网 络 ,利用 其 资源 和 服务 进行 商 
业 活 动 , 网 络 安全 问题 越发 突显 出 来 。 每 个 厂商 都 有 一 些 不 能 为 外 人 或 竞争 者 知道 的 信息 
和 数据 ,如 特定 的 单据 、 交 易 金 额 \ 销 售 计划 、 客 户 名 单 等 ,他 们 不 希望 外 部 用 户 访 问 这 些 信 
息 和 数据 。 但 是 ,计算 机 窃贼 或 破坏 者 却 千方百计 冰 人 互联 网 络 和 主 计算 机 ,盗用 数据 、 破 
坏 资源 .制造 事端 。 有 时 ,善意 的 用 户 也 可 能 会 在 网 络 中 不 恰当 地 获取 信息 和 数据 ,尤其 是 
在 计算 机 系统 缺乏 安全 保障 措施 时 ,后果 不 堪 设 想 。 在 这 种 情况 下 ,计算 机 网 络 安全 技术 应 
运 而 生 , 以 满足 这 种 发 展 中 的 需要 ,使 得 网 络 用 户 在 获取 同 全 球 网 络 连 接 的 同时 ,保证 其 专 
用 信息 及 资产 的 安全 。 

在 因特网 大 规模 普及 之 后 ,特别 是 在 电子 商务 活动 逐渐 进入 实用 阶段 之 后 ,网 络 信息 安 
全 更 是 引起 人 们 的 高 度 重视 。 网 络 交易 需要 大 量 的 信息 ,包括 商品 生产 和 供应 信息 (商品 的 
产地 ,产量 质量 品种、 规格 .价格 等 ) .商品 需求 信息 (消费 者 的 个 人 情况 购买 倾 向 、 购 买 力 
的 增 减 、 消 费 水 平和 结构 的 变化 等 ) .商品 竞争 信息 (同行 业 竞 购 和 竞 销 能 力 、 新 产品 开发 、 价 
格 策略 .促销 策略 .销售 渠道 等 ) .财务 信息 (价格 撮合 、 收 支 款 项 .支付 方式 等 )\ 市 场 环境 信 
息 (政治 状况 、 经 济 状况 .自然 条 件 特别 是 自然 灾害 的 变化 等 )。 这 些 信 息 通过 合同 、 货 单 文 
件 、 财 务 核算 、 任 证 ,标准 、 条 例 等 形式 在 买卖 双方 以 及 有 关 各 方 之 间 不 断 传递 。 为 保证 整个 
交易 过 程 的 顺利 完成 ,必须 保证 上 述 信息 的 完整 性 、 准 确 性 和 不 可 修改 性 。 由 于 网 络 交易 信 
息 是 在 因特网 上 传递 的 ,因此 ,相对 于 传统 交易 来 说 ,网 络 交易 对 信息 安全 提出 了 更 高 ,更 苛 
刻 的 要 求 。 

危及 网 络 信息 安全 的 因素 主要 来 自 两 个 方面 : 一 是 网 络 设 计 和 网 络 管理 方面 存在 丝 漏 
的 原因 ,无 意 间 造 成 机 密 数 据 暴露 ; 二 是 攻击 者 采用 不 正当 的 手段 通过 网 络 (包括 截取 用 户 
正在 传输 的 数据 和 远程 进入 用 户 的 系统 ) 获 得 数据 。 对 于 前 者 ,应 当 结合 整个 网 络 系统 的 设 
计 , 进 一 步 提高 系统 的 可 靠 性 ; 对 于 后 者 , 则 应 从 数据 安全 的 角度 着 手 ,采取 相 应 的 安全 措 
施 ,达到 保护 数据 安全 的 目的 。 
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一 个 良好 的 网 络 安全 系统 ,不 仅 应 当 能 够 防范 恶意 的 无 关 人 员 ,而 且 应 当 能 够 防止 专 有 
数据 和 服务 程序 的 偶然 泄露 ,同时 不 需要 内 部 用 户 都 成 为 安全 专家 。 设 置 这 样 一 个 系统 ,用 
户 才 能 够 在 其 内 部 资源 得 到 保护 的 安全 环境 下 ,享受 访问 公用 网 络 的 好 处 。 


1.2 信息 安全 的 研究 内 容 


从 广义 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 可用性、 真实 性 、 可 控 性 和 占有 性 
的 相关 技术 和 理论 都 属于 信息 安全 的 研究 领域 。 这 些 内 容 的 具体 要 求 如 下 。 

(1) 保密 性 : 确保 信息 不 暴露 给 未 授权 的 实体 或 进程 。 保 证 机 密 信 息 不 被 窃听 ,或 窃 
听 者 不 能 了 解 信息 的 真实 含义 。 

(2) 完整 性 : 是 指 信息 在 存储 或 传输 时 不 被 修改 、 破 坏 , 不 出 现 信息 包 的 丢失 、 错 位 等 ， 
即 不 能 被 未 授权 的 第 三 方 修改 。 完 整 性 要 求 只 有 得 到 授权 的 人 才能 修改 数据 ,并 且 能 够 辩 
别 数据 是 否 已 被 修改 , 它 是 信息 安全 的 基本 要 求 。 破 坏 信息 的 完整 性 是 影响 信息 安全 的 常 
用 手段 ,因此 ,要 保证 数据 的 一 致 性 ,就 必须 防止 数据 被 非法 用 户 自 改 。 

(3) 可 用 性 : 包括 对 静态 信息 的 可 得 到 和 可 操作 性 及 对 动态 信息 内 容 的 可 见 性 。 可 用 
性 要 求 得 到 授权 的 实体 在 需要 时 可 以 方便 地 访问 数据 ,而 使 攻击 者 不 能 占用 所 有 资源 去 阻 
碍 授权 者 的 工作 。 能 够 保证 合法 用 户 对 信息 和 资源 的 使 用 不 会 被 不 正当 地 拒绝 ,需要 的 服 
务 可 以 满足 。 

(4) 真实 性 : 是 指 信 息 的 可 信 度 ,主要 是 指 对 信息 所 有 者 或 发 送 者 的 身份 进行 确认 ,对 
信息 的 来 源 进行 判断 ,对 伪造 来 源 的 信息 予以 鉴别 。 

(5) 实用 性 : 是 指 信 息 加 密 的 密 钥 不 可 丢失 (不 是 泄密 )。 因 为 丢失 了 密 钥 的 信息 也 就 
丢失 了 信息 的 实用 性 ,成 为 垃圾 。 

(6) 占有 性 : 是 指 存储 信息 的 节点 、 磁 盘 等 信息 载体 被 盗用 ,导致 对 信息 的 占用 权 丧 失 。 

(7) 可 控 性 : 可 以 控制 授权 范围 内 信息 的 流向 及 行为 方式 ,对 信息 的 传播 及 内 容 具 有 
控制 能 力 。 

(8) 可 审查 性 : 对 出 现 的 网 络 安全 问题 提供 调查 的 依据 和 手段 。 

目前 ,在 信息 安全 领域 人 们 关注 的 焦点 主要 集中 在 以 下 几 个 方面 。 

(1) 密码 理论 与 技术 。 

(2) 安全 协议 理论 与 技术 。 

(3) 安全 体系 结构 理论 与 技术 。 

(4) 信息 对 抗 理论 与 技术 。 

(5) 网 络 安全 与 安全 产品 。 


1.2.1 密码 理论 与 技术 


密码 技术 是 信息 安全 的 核心 技术 。 如 今 , 计 算 机 网 络 环境 下 信息 的 保密 性 、 完 整 性 、 可 
用 性 和 抗 抵赖 性 ,都 需要 采用 密码 技术 来 解决 和 保证 。 密 码 体制 大 体 分 为 对 称 密码 (又 称 为 
私 钥 密 码 ) 和 非 对 称 密码 (又 称 为 公 钥 密码 ) 两 种 。 公 钥 密 码 体 制 在 信息 安全 中 担负 起 密 钥 
协商 数字 签名 、 消 息 认证 等 重要 角色 ,已 成 为 最 核心 的 密码 体制 。 

当前 , 公 钥 密码 的 安全 性 概念 已 经 被 大 大 扩展 了 。 像 著名 的 RSA 公 钥 密码 算法 、Rabin 
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公 钥 密码 算法 和 ElGamal 公 钥 密码 算法 都 已 经 得 到 了 广泛 应 用 。 但 是 ,有 些 公 钥 密码 算法 
在 理论 上 是 安全 的 ,可 是 在 具体 的 实际 应 用 中 并 非 安 全 。 因 为 在 实际 应 用 中 不 仅 需要 算法 
本 身 在 数学 证 明 上 是 安全 的 ,同时 也 需要 算法 在 实际 应 用 中 也 是 安全 的 。 比 如 , 公 钥 加 密 算 
法 根据 不 同 的 应 用 ,需要 考虑 选择 明文 安全 、, 非 适应 性 选择 密 文 安全 和 适应 性 选择 密 文 安全 
三 类 。 数 字 签 名 根据 需要 也 要 求 考 虑 抵抗 非 消息 攻击 和 选择 消息 攻击 等 。 因 此 ,近年 来 , 公 
钥 密码 学 研究 中 的 一 个 重要 内 容 是 可 证 安全 密码 学 。 

目前 密码 的 核心 课题 主要 是 在 结合 具体 的 网 络 环境 、 提 高 运算 效率 的 基础 上 ,针对 各 种 
主动 攻击 行为 ,研究 各 种 可 证 安全 体制 。 其 中 引 人 注 目的 是 基于 身份 (ID) 密 码 体制 和 密码 
体制 的 可 证 安全 模型 研究 ,目前 已 经 取得 了 重要 成 果 。 这 些 成 果 对 网 络 安全 ,信息 安全 的 影 
响 非常 巨大 ,例如 公 钥 基础 设施 (Public Key Infrastructure, PK1) 将 会 更 趋 于 合理 。 在 密码 
分 析 和 攻击 手段 不 断 进步 .计算 机 运算 速度 不 断 提高 以 及 密码 应 用 需求 不 断 增长 的 情况 下 ， 
迫切 需要 发 展 密码 理论 和 创新 密码 算法 。 

当前 ,密码 学 发 展 面临 着 挑战 和 机 遇 。 计 算 机 网 络 通信 技术 的 发 展 和 信息 时 代 的 到 来 ， 
给 密码 学 提供 了 前 所 未 有 的 发 展 机 遇 。 在 密码 理论 .密码 技术 、 密 码 保障 、 密 码 管理 等 方面 
进行 创造 性 变革 ,去 开辟 密码 学 发 展 的 新 纪元 才 是 我 们 的 追求 。 


1.2.2 安全 协议 理论 与 技术 


安全 协议 的 建立 和 完善 是 安全 保密 系统 走 上 规范 化 、 标 准 化 道路 的 基本 因素 。 一 个 较 
为 完善 的 内 部 网 和 安全 保密 系统 ,至 少 要 实现 加 密 机 制 、 验 证 机 制 和 保护 机 制 。 

安全 协议 的 研究 主要 包括 两 方面 内 容 , 即 安全 协议 的 安全 性 分 析 方 法 研究 和 各 种 实用 
安全 协议 的 设计 与 分 析 研 究 。 安 全 协议 的 安全 性 分 析 方 法 主要 有 两 类 ,一 类 是 攻击 检验 方 
法 ,一 类 是 形式 化 分 析 方 法 ,其 中 安全 协议 的 形式 化 分 析 方法 是 安全 协议 研究 中 最 关键 的 研 
究 问 题 之 一 , 它 的 研究 始 于 20 世纪 80 年 代 初 ,目前 正 处 于 百花 齐 放 ,充满 活力 的 状态 之 中 。 
许多 一 流 大 学 和 公司 的 介入 ,使 这 一 领域 成 为 研究 热点 。 随 着 各 种 有 效 方法 及 思想 的 不 断 
涌现 ,这 一 领域 在 理论 上 正在 走向 成 熟 。 

从 大 的 方面 讲 , 在 协议 形式 化 分 析 方 面 比较 成 功 的 研究 思路 可 以 分 为 三 种 : 第 一 种 是 
基于 推理 知识 和 信念 的 模 态 逻辑 ; 第 二 种 是 基于 状态 搜索 工具 和 定理 证 明 技术 ; 第 三 种 是 
基于 新 的 协议 模型 发 展 证 明正 确 性 理论 。 目 前 ,已 经 提出 了 大 量 的 实用 安全 协议 ,具有 代表 
性 的 有 电子 商务 协议 、IPSec (Internet Protocol Security) 协议 、TLS (Transport Layer 
Security) 协 议 .简单 网 络 管理 协议 (Simple Network Management Protocol,SNMP) 、PGP 
(Pretty Good Privacy ) 协议 、 PEM (Privacy Enhanced Email) 协议 、S-HTTP (Secure 
Hypertext Transfer Protocol ) 协议 、 S/MIME (Secure Multipurpose Internet Mail 
Extension) 协 议 等 。 实 用 安全 协议 的 安全 性 分 析 特 别 是 电子 商务 协议 .IPSec 协议 .TLS 协 
议 是 当前 协议 研究 中 的 另 一 个 热点 。 

典型 的 电子 商务 协议 有 SET (Secure Electronic Transaction ) 协议 、IKP (Internet 
Keyed Payment Protocols) 协 议 等 。 另 外 ,值得 注意 的 是 Kailar 逻辑 , 它 是 目前 分 析 电 子 商 
务 协议 的 最 有 效 的 一 种 形式 化 方法 。 

为 了 实现 安全 IP,Internet 工程 任务 组 IETF 于 1994 年 开始 了 一 项 IP 安全 工程 ,专门 
成 立 了 IP 安全 协议 工作 组 IPSec, 来 制定 和 推动 一 套 称 为 IPSec 的 IP 安全 协议 标准 。 其 
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目标 就 是 把 安全 集成 到 人 P 层 ,以 便 对 Internet 的 安全 业务 提供 底层 的 支持 。IETF 于 1995 年 
8 月 公布 了 一 系列 关于 IPSec 的 建议 标准 。IPSec 适用 于 IPv4 和 下 一 代 IP 协议 IPv6 ,并 且 
是 IPv6 自身 必 备 的 安全 机 制 。 但 IPSec 还 比较 新 , 正 处 于 研究 发 展 和 完善 阶段 。 

在 安全 协议 的 研究 中 , 除 理论 研究 外 ,实用 安全 协议 研究 的 总 趋势 是 走向 标准 化 。 我 国 
学 者 虽然 在 理论 研究 方面 和 国际 上 已 有 协议 的 分 析 方 面 做 了 一 些 工作 ,但 在 实际 应 用 方面 
与 国际 先进 水 平 还 有 一 定 的 差距 。 


1.2.3 安全 体系 结构 理论 与 技术 


安全 体系 结构 理论 与 技术 主要 包括 安全 体系 模型 的 建立 及 其 形式 化 描述 与 分 析 、 安 全 
策略 和 机 制 的 研究 、 检 验 和 评估 系统 安全 性 的 科学 方法 和 准则 的 建立 以 及 符合 这 些 模型 . 策 
略 和 准则 的 系统 的 研制 (如 安全 操作 系统 、 安 全 数据 库 系统 等 ) 。 

20 世纪 80 年 代 中 期 ,美国 国防 部 为 适应 军事 计算 机 的 保密 需要 ,在 20 世纪 70 年 代 的 
基础 理论 研究 成 果 计算 机 保密 模型 (Bell&La Padula 模型 ) 的 基础 上 ,制定 了 “可 信 计 算 机 
系统 安全 评价 准则 ”(Trusted Computer System Evaluation Criteria,TCSEC) ,其 后 又 对 网 
络 系统 .数据 库 等 方面 做 出 了 系列 安全 解释 ,形成 了 安全 信息 系统 体系 结构 的 最 早 原则 。 至 
今 美国 已 研制 出 达到 TCSEC 要 求 的 安全 系统 (包括 安全 操作 系统 、 安 全 数据 库 、 安 全 网 络 
部 件 ) 多 达 100 多 种 ,但 这 些 系统 仍 有 局 限 性 ,还 没有 真正 达到 形式 化 描述 和 证 明 的 最 高 级 
安全 系统 。20 世纪 90 年 代 初 ,英法 、 德 . 荷 四 国 针对 TCSEC 准则 只 考虑 了 保密 性 的 局 限 ， 
联合 提出 了 包括 保密 性 .完整 性 .可 用 性 概念 的 “信息 技术 安全 评价 准则 ”(Information 
Technology Security Evaluation Criteria,ITSEC) ,但 是 该 准则 中 并 没有 给 出 综合 解决 以 上 
问题 的 理论 模型 和 方案 。 近 年 来 六 国 七 方 (美国 国家 安全 局 和 国家 技术 标准 研究 所 、 加 、 英 、 
法 \ 德 , 荷 ) 共 同 提出 “信息 技术 安全 评价 通用 准则 ”(CC for ITSEC)。CC 综合 了 国际 上 已 
有 的 评测 准则 和 技术 标准 的 精华 ,给 出 了 框架 和 原则 要 求 ,但 它 仍然 缺少 综合 解决 信息 的 多 
种 安全 属性 的 理论 模型 依据 。CC 标准 于 1999 年 7 月 通过 国际 标准 化 组 织 认可 ,确立 为 国 
际 标准 ,编号 为 ISO/IEC 15408。ISO/IEC 15408 标准 对 安全 的 内 容 和 级 别 给 予 了 更 完整 
的 规范 ,为 用 户 对 安全 需求 的 选取 提供 了 充分 的 灵活 性 。 然 而 ,国外 研制 的 高 安全 级 别 的 产 
品 对 我 国 是 封锁 禁 售 的 ,即使 出 售 给 我 们 ,其 安全 性 也 难以 令 人 放心 ,我 们 只 能 自主 研究 和 
开发 。 

我 国 在 系统 安全 的 研究 与 应 用 方面 与 先进 国家 和 地 区 存在 很 大 差距 。 近 几 年 来 ,在 我 
国 进行 了 安全 操作 系统 、 安 全 数据 库 、 多 级 安全 机 制 的 研究 ,但 由 于 自主 安全 内 核 受 控 于 人 ， 
难以 保证 没有 漏洞 。 而 且 大 部 分 有 关 的 工作 都 以 美国 1985 年 的 TCSEC 标准 为 主要 参照 
系 。 开 发 的 防火 墙 、 安 全 路 由 器 、 安 全 网 关 、 黑 客 入 侵 检 测 系统 等 产品 和 技术 ,主要 集中 在 系 
统 应 用 环境 的 较 高 层次 上 ,在 完善 性 ,规范 性 和 实用 性 上 还 存在 许多 不 足 ,特别 是 在 多 平台 
的 兼容 性 、 多 协议 的 适应 性 、 多 接口 的 满足 性 方面 存在 很 大 距离 ,其 理论 基础 和 自主 的 技术 
手段 也 有 待 于 发 展 和 强化 。 然 而 ,我 国 的 系统 安全 的 研究 与 应 用 毕竟 已 经 起 步 , 具 备 了 一 定 
的 基础 和 条 件 。1999 年 10 月 发 布 了 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》, 该 准则 为 
安全 产品 的 研制 提供 了 技术 支持 ,也 为 安全 系统 的 建设 和 管理 提供 了 技术 指导 。 

Linux 开放 源 代码 为 我 国 自主 研制 安全 操作 系统 提供 了 前 所 未 有 的 机 遇 。 作 为 信息 系 
统 赖 以 支持 的 基础 系统 软件 一 一 操作 系统 ,其 安全 性 是 个 关键 。 长 期 以 来 ,我 国 广泛 使 用 的 
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主流 操作 系统 都 是 从 国外 引进 的 。 从 国外 引进 的 操作 系统 ,其 安全 性 难以 令 人 放心 。 具 有 
我 国 自主 版 权 的 安全 操作 系统 产品 在 我 国 各 行 各 业 都 迫切 需要 。 我 国 的 政府 .国防 金融 等 
机 构 对 操作 系统 的 安全 都 有 各 自 的 要 求 , 都 迫切 需要 找到 一 个 既 满足 功能 和 性 能 要 求 ,又 具 
备 足够 的 安全 可 信和 度 的 操作 系统 。Linux 的 发 展 及 其 应 用 在 国际 上 的 广泛 兴起 ,在 我 国 也 
产生 了 广泛 的 影响 ,只 要 其 安全 问题 得 到 妥善 解决 ,将 会 得 到 我 国 各 行 各 业 的 普遍 认可 。 


1.2.4 信息 对 抗 理论 与 技术 


信息 对 抗 理论 与 技术 主要 包括 黑客 防范 体系 、 信 息 伪 装 理论 与 技术 、 信 息 分 析 与 监控 、 
入 侵 检测 原理 与 技术 、 反 击 方法 .应 急 响 应 系统 .计算 机 病毒 .人 工 免 疫 系 统 在 反 病 毒 和 抗 人 
侵 系 统 中 的 应 用 等 。 

由 于 在 广泛 应 用 的 国际 互联 网 上 ,黑客 人 侵 事 件 不 断 发 生 ,不良 信 息 大 量 传播 ,网 络 安 
全 监控 管理 理论 和 机 制 的 研究 因此 受到 重视 。 黑 客人 和 人 侵 手段 的 研究 分 析 、 系 统 脆弱 性 检测 
技术 .和 人 侵 报警 技术 信息 内 容 分 级 标识 机 制 . 智 能 化 信息 内 容 分 析 等 研究 成 果 已 经 成 为 众 
多 安全 工具 软件 的 组 成 部 分 。 大 量 的 安全 事件 和 研究 成 果 揭示 出 系统 中 存在 许多 设计 缺 
陷 , 存 在 情报 机 构 有 意 埋伏 的 安全 陷阱 的 可 能 。 例 如 在 CPU 芯片 中 ,在 发 达 国 家 现 有 技术 
条 件 下 ,可 以 植 入 无 线 发 射 接收 功能 ; 在 操作 系统 、 数 据 库 管理 系统 或 应 用 程序 中 能 够 预先 
设置 情报 收集 、 受 控 激 发 破坏 程序 的 功能 。 通 过 这 些 功 能 ,可 以 接收 特殊 病毒 ,接收 来 自 网 
络 或 空间 的 指令 来 触发 CPU 的 自杀 功能 .搜集 和 发 送 敏感 信息 ; 通过 特殊 指令 在 加 密 操 作 
中 将 部 分 明文 隐藏 在 网 络 协议 层 中 传输 等 。 而 且 , 通 过 唯一 识别 CPU 个 体 的 序列 号 ,可 以 
主动 .准确 地 识别 .跟踪 或 攻击 一 个 使 用 该 芯片 的 计算 机 系统 ,根据 预先 设 定 收集 敏感 信息 
或 进行 定向 破坏 。 

1988 年 著名 的 “Internet 蠕虫 事件 "和 计算 机 系统 Y2k 问题 (计算 机 系统 的 时 间 表 示 的 
范围 不 够 而 引起 的 问题 ) 足 以 让 人 们 高 度 重 视 信 息 系 统 的 安全 。 最 近 黑 客 利用 分 布 式 拒绝 
服务 方法 攻击 大 型 网 站 ,导致 网 络 服务 瘫痪 ,更 是 令 人 震惊 。 由 于 信息 系统 安全 的 独特 性 ， 
人 们 已 将 其 用 于 军事 对 抗 领域 。 计 算 机 病毒 和 网 络 黑客 攻击 技术 必 将 成 为 新 一 代 的 军事 武 
器 。 信 息 对 抗 技术 的 发 展 将 会 改变 以 往 的 竞争 形式 ,包括 战争 。 

信息 对 抗 这 一 领域 正 处 于 发 展 阶段 ,理论 和 技术 都 很 不 成 熟 , 也 比较 零散 。 但 它 的 确 是 
一 个 研究 热点 。 目 前 的 成 果 主 要 是 一 些 产品 (比如 (Intrusion Detection Systems, 入 侵 检测 
系统 )、 防 范 软件 , 杀 病 毒 软件 等 ) 攻击 程序 和 黑客 攻击 成 功 的 事件 。 当 前 在 该 领域 最 引 人 
注目 的 问题 是 网 络 攻击 ,美国 在 网 络 攻击 方面 处 于 国际 领先 地 位 ,有 多 个 官方 和 民间 组 织 在 
做 攻击 方法 的 研究 。 其 中 联邦 调查 局 的 下 属 组 织 NIPC(National Infrastructure Protection 
Center, 国 家 基础 设施 保护 中 心 ) 维 护 了 一 个 黑客 攻击 方法 的 数据 库 , 列 入 国家 机 密 , 不 对 外 
提供 服务 。 该 组 织 每 两 周公 布 一 次 最 新 的 黑客 活动 报道 及 其 攻击 手段 与 源码 。 美 国 最 著名 
的 研究 黑客 攻击 方法 的 组 织 有 CIAC( 计 算 机 事故 咨询 功能 组 )、CERT( 计 算 机 紧急 响应 小 
组 ) 和 COAST( 计 算 机 操作 ,审计 和 安全 技术 组 )。 他 们 跟踪 研究 最 新 的 网 络 攻击 手 段 ,对 
外 及 时 发 布 信息 ,并 提供 安全 咨询 。 此 外 ,国际 上 每 年 举行 一 次 FIRST( 安 全 性 事故 与 响应 
小 组 论坛 ) 会 议 , 探 讨 黑客 攻击 方法 的 最 新 进展 。 

该 领域 的 另 一 个 比较 热门 的 课题 是 入 侵 检 测 与 防范 。 这 方面 的 研究 相对 比较 成 熟 ,也 
形成 了 系列 产品 ,典型 代表 是 IDS 产品 。 国 内 在 这 方面 也 做 了 很 好 的 工作 ,并 形成 了 相应 
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信息 对 抗 使 得 信息 安全 技术 有 了 更 大 的 用 场 , 极 大 地 刺激 了 信息 安全 的 研究 与 发 展 。 
信息 对 抗 的 能 力 不 仅 体现 了 一 个 国家 的 综合 实力 ,而且 体现 了 一 个 国家 信息 安全 实际 应 用 
的 水 平 。 


1.2.5 网络 安 全 与 安全 产品 


推动 国内 信息 安全 产业 的 主要 因素 有 三 个 。 

其 一 是 企业 的 信息 化 乃至 整个 社会 的 信息 化 。 客 户 端 对 于 安全 保障 的 要 求 会 越 来 越 
高 ,对 信息 安全 的 需求 会 越 来 越 大 。 

其 二 是 政府 的 引领 和 推进 作用 。 政 府 的 有 关 政 策 和 文件 的 发 布 ,必然 会 直接 推动 一 些 
国家 关键 信息 化 点 和 行业 的 安全 建设 进程 。 

其 三 是 安全 技术 和 产品 的 日 益 成 熟 。2003 年 以 前 ,国外 的 安全 产品 技术 相对 先进 ,但 
由 于 人 力 成 本 高 ,难以 做 到 贴身 为 客户 服务 , 且 往 往 需要 固化 在 企业 IT 信息 系统 内 ,很 难 升 
级 。 相 比 之 下 ,国内 产品 虽然 与 之 存在 一 定 的 技术 差距 ,但 服务 优势 却 很 明显 ; 而 在 2004 年 
以 后 ,国内 信息 安全 产品 的 技术 改进 明显 ,稳定 性 .可 靠 性 有 了 极 大 的 提升 ,再 加 上 国内 产品 
往往 能 提供 贴身 定制 化 的 服务 ,这 无 疑 会 激发 客户 的 采购 热情 。 

目前 ,在 市 场 上 比较 流行 而 又 能 够 代表 未 来 发 展 方向 的 安全 产品 大 致 有 以 下 几 类 。 

(1) 防火 墙 : 防火 墙 在 某 种 意义 上 可 以 说 是 一 种 访问 控制 产品 。 它 在 内 部 网 络 与 不 安 
全 的 外 部 网 络 之 间 设 置 障碍 ,阻止 外 界 对 内 部 资源 的 非法 访问 ,防止 内 部 对 外 部 的 不 安全 访 
问 。 主 要 技术 有 包 过 滤 技术 .应 用 网 关 技术 和 代理 服务 技术 。 防 火 墙 能 够 较为 有 效 地 防止 
黑客 利用 不 安全 的 服务 对 内 部 网 络 的 攻击 ,并且 能 够 实现 数据 流 的 监控 .过 滤 .记录 和 报告 
功能 , 较 好 地 隔断 内 部 网 络 与 外 部 网 络 的 连接 。 但 它 本 身 可 能 存在 安全 问题 ,也 可 能 会 是 一 
个 潜在 的 瓶颈 。 

(2) 安全 路 由 器 : 由 于 WAN 连接 需要 专用 的 路 由 器 设备 ,因而 可 通过 路 由 器 来 控制 网 
络 传输 。 通 常 采 用 访问 控制 列表 技术 来 控制 网 络 信息 流 。 

(3) 虚拟 专用 网 (VPN) : 虚拟 专用 网 (VPN) 是 在 公共 数据 网 络 上 ,通过 采用 数据 加 密 
技术 和 访问 控制 技术 ,实现 两 个 或 多 个 可 信 内 部 网 之 间 的 互联 。VPN 的 构筑 通常 都 要 求 采 
用 具有 加 密 功能 的 路 由 器 或 防火 墙 ,以 实现 数据 在 公共 信道 上 的 可 信 传 递 。 

(4) 安全 服务 器 : 安全 服务 器 主要 针对 一 个 局 域 网 内 部 信息 存储 、 传 输 的 安全 保密 问 
题 ,其 实现 功能 包括 对 局 域 网 资源 的 管理 和 控制 .对 局 域 网 内 用 户 的 管理 ,以 及 局 域 网 中 所 
有 安全 相关 事件 的 审计 和 跟踪 。 

(5) 电子 签证 机 构 和 PKI 产品 : 电子 签证 机 构 (CA) 作 为 通信 的 第 三 方 ,为 各 种 服务 提 
供 可 信任 的 认证 服务 。CA 可 向 用 户 发 行 电子 签证 证 书 ,为 用 户 提 供 成 员 身 份 验证 和 密 钥 
管理 等 功能 。PKI 产品 可 以 提供 更 多 的 功能 和 更 好 的 服务 ,将 成 为 所 有 应 用 的 计算 基础 结 
构 的 核心 部 件 。 

(6) 用 户 认证 产品 : 由 于 IC 卡 技术 的 日 益 成 熟 和 完善 ,IC 卡 被 更 为 广泛 地 用 于 用 户 认 
证 产品 中 ,用 来 存储 用 户 的 个 人 私 钥 ,并 与 其 他 技术 如 动态 口令 相 结合 ,对 用 户 身份 进行 有 
效 的 识别 。 同 时 ,还 可 利用 IC 卡 上 的 个 人 私 钥 与 数字 签名 技术 结合 ,实现 数字 签名 机 制 。 
随 着 模式 识别 技术 的 发 展 ,诸如 指纹 、 视 网 膜 、 脸 部 特征 等 高 级 的 身份 识别 技术 也 将 投入 应 
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用 ,并 与 数字 签名 等 现 有 技术 结合 , 必 将 使 得 对 于 用 户 身份 的 认证 和 识别 更 趋 完善 。 

(7) 安全 管理 中 心 : 由 于 网 上 的 安全 产品 较 多 , 且 分 布 在 不 同 的 位 置 ,这 就 需要 建立 一 
套 集 中 管理 的 机 制 和 设备 , 即 安全 管理 中 心 。 它 用 来 给 各 网 络 安全 设备 分 发 密 钥 ,监控 网 络 
安全 设备 的 运行 状态 ,负责 收集 网 络 安全 设备 的 审计 信息 等 。 

(8) 入 侵 检测 系统 (IDS): 入 侵 检测 ,作为 传统 保护 机 制 (比如 访问 控制 .身份 识别 等 ) 
的 有 效 补 充 , 形 成 了 信息 系统 中 不 可 或 缺 的 反馈 链 。 

(9) 安全 数据 库 : 由 于 大 量 的 信息 存储 在 计算 机 数据 库 内 ,有 些 信息 是 有 价值 的 ,也 是 
敏感 的 ,需要 保护 。 安 全 数据 库 可 以 确保 数据 库 的 完整 性 、 可 靠 性 有 效 性 .机密 性 、 可 审计 
性 及 存 取 控制 与 用 户 身 份 识别 等 。 

(10) 安全 操作 系统 : 给 系统 中 的 关键 服务 器 提供 安全 运行 平台 ,构成 安全 WWW 服 
务 、 安 全 FTP (File Transfer Protocol, 文件 传输 协议 ) 服 务 、 安 全 SMTP (Simple Mail 
Transfer Protocol, 简 单 邮件 传输 协议 ) 服 务 等 ,并 作为 各 类 网 络 安全 产品 的 坚实 底座 ,确保 
这 些 安全 产品 的 自身 安全 。 

网 络 安全 的 解决 是 一 个 综合 性 问题 ,涉及 诸多 因素 ,包括 技术 、 产 品 和 管理 等 。 目 前 国 
际 上 已 有 众多 的 网 络 安 全 解决 方案 和 产品 ,但 由 于 出 口 政策 和 自主 性 等 问题 ,不 能 直接 用 于 
解决 我 国 的 网 络 安 全 ,因此 我 国 的 网 络 安全 只 能 借鉴 这 些 先进 技术 和 产品 ,自行 解决 。 可 境 
的 是 ,目前 国内 已 有 一 些 网 络 安全 解决 方案 和 产品 ,不 过 ,这 些 解决 方案 和 产品 与 国外 同类 
产品 相 比 尚 有 一 定 的 差距 。 


1.3 信息 安全 的 现状 和 发 展 


互联 网 络 (Internet) 起 源 于 美国 ,在 20 世纪 90 年 代 之 前 一 直 是 一 个 为 军事 ,科研 服务 
的 网 络 ,是 由 美国 科学 基金 会 提供 赞助 使 其 成 为 连接 全 美 各 大 院 校 .科研 机 构 的 学 术 性 计算 
机 网 络 。 进 入 90 年 代 , 随 着 计算 机 和 通信 技术 的 高 速 发 展 , 它 已 发 展 成 为 全 球 性 网 络 , 极 大 
地 促进 了 世界 各 国 的 信息 交流 和 科学 进步 。 到 目前 为 止 , 互 联网 已 经 覆盖 了 175 个 国家 和 
地 区 的 数 千 万 台 计算 机 ,用 户 数量 超过 1 亿 。 随 着 计算 机 网 络 的 普及 ,计算 机 网 络 的 应 用 向 
深度 和 广度 不 断 发 展 。 企 业 上 网 ,政府 上 网 \ 网 上 学 校 `. 网 上 购物 等 ,一 个 网 络 化 社会 的 难 形 
已 经 展现 在 我 们 面前 。 在 网 络 给 人 们 带 来 巨大 的 便利 的 同时 ,也 带 来 了 一 些 不 容 忽视 的 问 
题 , 网 络 信息 的 安全 保密 问题 就 是 其 中 之 一 。 


1.3.1 互联 网 的 特点 


互联 网 作为 开放 网 , 不 提供 保密 服务 , 这 一 点 使 互联 网 具有 许多 新 特点 。 

(1) 互联 网 是 无 中 心 网 , 再 生 能 力 很 强 。 一 个 局 部 的 破坏 , 不 影响 整个 系统 的 运行 。 
因此 , 互联 网 特别 能 适应 战争 环境 。 这 也 许 是 美国 军 方 重新 重视 互联 网 的 原因 之 一 。 

(2) 互联 网 可 实现 移动 通信 、 多 媒体 通信 等 多 种 服务 。 互 联网 提供 电子 邮件 (E-mail)、 
文件 传输 (FTP) 、 全 球 浏览 (WWW) ,以 及 多 媒体 、 移 动 通信 等 服务 , 正在 实现 一 次 通信 ( 信 
息 ) 革 命 , 在 社会 生活 中 起 着 非常 重要 的 作用 。 尽 管 国际 互联 网 存在 一 些 问 题 , 但 仍 受到 
各 国政 府 的 高 度 重视 , 发 展 异 常 迅猛 。 

(3) 互联 网 一 般 分 为 外 部 网 和 内 部 网 。 从 安全 保密 的 角度 来 看 , 互联 网 的 安全 主要 指 
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内 部 网 (Intranet) 的 安全 , 因此 其 安全 保密 系统 要 靠 内 部 网 的 安全 保密 技术 来 实现 , 并 在 
内 部 网 与 外 部 网 的 连接 处 用 防火 墙 (firewall) 技 术 隔离 ,以 确保 内 部 网 的 安全 。 

(4) 互联 网 的 用 户主 体 是 个 人 。 个 人 化 通信 和 是 通信 技术 发 展 的 方向 , 推动 着 信息 高 速 
公路 的 发 展 。 但 从 我 国 目 前 的 情况 看 , 在 今后 相当 长 的 时 间 里 , 计算 机 网 和 互联 网 会 并 存 
发 展 , 在 保留 大 量 终端 间 通 信 计 算 机 网 的 特点 的 同时 , 会 不 断 加 大 个 人 化 通信 的 互联 网 的 
特点 。 

网 络 与 信息 安全 已 成 为 我 国信 息 产业 健康 发 展 必须 面 对 的 严重 问题 。 目 前 ,各 种 网 络 
安全 漏洞 大 量 存在 和 不 断 被 发 现 ; 漏洞 公布 到 利用 漏洞 的 攻击 代码 出 现时 间 缩 短 至 几 天 其 
至 一 天 ,使 开发 ,安装 相关 补丁 及 采取 防范 措施 的 时 间 压 力 增加 ; 网 络 攻击 行为 日 趋 复杂 ， 
防火 墙 \ 入 侵 监 测 系 统 等 网 络 安全 设备 不 能 完全 阻挡 网 络 安全 攻击 ; 黑客 攻击 目标 从 单纯 
追求 “荣耀 感 "向 获取 实际 利益 方向 转移 ; 针对 手机 等 无 线 终端 的 网 络 攻击 正 进一步 发 
展 ; 随 着 网 络 共 享 软件 、 群 组 交互 通信 、 地 址 转移 ` 加 密 代 理 、 信 件 自 收 发 .无 界 浏览 器 、 动 
态 网 络 等 新 型 技术 的 不 断 开发 和 应 用 ,传统 的 网 络 安全 监管 手段 和 技术 实施 措施 难以 有 
效 发 挥 。 


1.3.2 信息 网 络 安全 现状 


从 1998 年 起 ,中 国 互联 网 络 信息 中 心 决定 于 每 年 1 月 和 7 月 发 布 (中 国 互联 网 络 发 展 
状况 统计 报告 》。 

2012 年 1 月 16 日, 中国 互联 网 络 信息 中 心 (CNNIC) 发 布 的 (第 29 次 中 国 互联 网 络 发 
展 状 况 统计 报告 公布 了 中 国 网 民 人 数 、 网 民 分 布 、 上 网 计算 机 数 、 信 息 流量 分 布 . 域 名 注册 
等 方面 情况 的 统计 信息 。 

截至 2011 年 12 月 30 日 ,我国 网 民 规 模 突 破 5 亿 大 关 , 达 到 5.13 亿 , 相 比 2010 年 底 增 
加 5580 万 人 ; 互联 网 普及 率 攀 升 至 38.3%, 较 2010 年 提高 4 个 百分点 。 我 国手 机 网 民 规 
模 达 3. 56 亿 , 同 比 增长 17.6%。 手 机 网 民 较 传统 互联 网 网 民 增 幅 更 大 ,构成 拉动 中 国 总 体 
网 民 规模 攀升 的 主要 动力 。 

可 以 毫 不 夸张 地 说 ,中 国 是 一 个 名 副 其 实 的 互联 网 大 国 。 但 是 ,中 国 的 网 络 环境 和 世界 
一 样 ,面临 着 各 种 各 样 的 威胁 ,必须 采取 严格 的 安全 防护 措施 。 

中 国 国 家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 CCNCERT) 在 其 官方 网 站 上 ,针对 我 国 的 
互联 网 现状 ,定期 发 布 我 国信 息 网 络 安全 呈现 出 的 一 些 新 威胁 和 态势 分 析 。 

(1) 基础 网 络 防护 能 力 明显 提升 ,但 安全 隐患 不 容 忽视 。 据 国家 信息 安全 漏洞 共享 平 
台 (CNVD) 收 录 的 漏洞 统计 ,2011 年 发 现 涉及 电信 运营 企业 网 络 设备 (如 路 由 器 、 交 换 机 
等 ) 的 漏洞 203 个 。 据 CNCERT 监测 ,2011 年 每 天 发 生 的 分 布 式 拒 绝 服务 攻击 (DDoS) 事 
件 中 平均 约 有 7% 的 事件 涉及 基础 电信 运营 企业 的 域名 系统 或 服务 。 

(2) 政府 网 站 算 改 类 安全 事件 显著 减少 ,网 站 用 户 信 息 泄漏 引发 社会 高 度 关注 。 从 整 
体 来 看 ,2011 年 网 站 安全 情况 有 一 定 恶化 趋势 。 在 CNCERT 接收 的 网 络 安全 事件 (不 含 漏 
洞 ) 中 ,网 站 安全 类 事件 占 到 61. 7%; CNVD 接收 的 漏洞 中 ,涉及 网 站 相关 的 漏洞 占 
22.7%。 网 站 安全 问题 进一步 引发 网 站 用 户 信 息 和 数据 的 安全 问题 。 根 据 调查 和 研究 发 
现 ,我 国 部 分 网 站 的 用 户 信息 仍 采用 明文 的 方式 存储 ,相关 漏洞 修补 不 及 时 ,安全 防护 水 平 
较 低 。 
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(3) 我 国 遭 受 境外 的 网 络 攻击 持续 增多 。2011 年 ,CNCERT 抽样 监测 发 现 ,境外 有 近 
4.7 万 个 IP 地 址 作为 木马 或 僵尸 网 络 控制 服务 器 参与 控制 我 国境 内 主机 。 其 中 位 于 日 本 
(22.8%) ,美国 (20.4%) 和 韩国 (7. 1%) 的 控制 服务 器 IP 数量 居 前 三 位 ,美国 继 2009 年 和 
2010 年 两 度 位 居 榜 首 后 ,2011 年 其 控制 服务 器 IP 数量 下 降 至 第 二 ,以 9528 个 IP 控制 着 我 
国境 内 近 885 万 台 主 机 ,控制 我 国境 内 主机 数 仍 然 高 居 榜 首 。 总 体 来 看 ,2011 年 位 于 美国 、 
日 本 和 韩国 的 恶意 IP 地 址 对 我 国 的 威胁 最 为 严重 。 另 据 工 业 和 信息 化 部 互联 网 网 络 安全 
信息 通报 成 员 单位 报 送 的 数据 ,2011 年 在 我 国 实施 网 页 挂 马 、 网 络 钓鱼 等 不 法 行为 所 利用 
的 恶意 域名 约 有 65% 在 境外 注册 。 此 外 ,CNCERT 在 2011 年 还 监测 并 处 理 多 起 境外 IP 对 
我 国 网 站 和 系统 的 拒绝 服务 攻击 事件 。 这 些 情况 表明 我 国 面临 的 境外 网 络 攻击 和 安全 威胁 
越 来 越 严 重 。 

(4) 网 上 银行 面临 的 钓鱼 威胁 愈演愈烈 。 随 着 我 国 网 上 银行 的 莲 孝 发 展 ,广大 网 银 用 
户 成 为 黑客 实施 网 络 攻击 的 主要 目标 。2011 年 初 ,全 国 范围 大 面积 爆发 了 假冒 中 国 银行 网 
银 口令 卡 升级 的 骗局 , 据 报 道 此 次 事件 中 有 客户 损失 超过 百 万 元 。 

(5) 工业 控制 系统 安全 事件 呈现 增长 态势 。2011 年 CNVD 收录 了 100 余 个 对 我 国 影 
响 广泛 的 工业 控制 系统 软件 安全 漏洞 , 较 2010 年 大 幅 增长 近 10 倍 , 涉 及 西门 子 、 北 京 亚 控 
和 北京 三 维 力 控 等 国内 外 知名 工业 控制 系统 制造 商 的 产品 。 

(6) 手机 恶意 程序 呈现 多 发 态势 。2011 年 CNCERT 捕获 移动 互联 网 恶意 程序 6249 个 ， 
较 2010 年 增加 超过 两 倍 。 其 中 ,恶意 扣 费 类 程序 数量 最 多 ,为 1317 个 , 占 21. 08%% ,其 次 是 
恶意 传播 类 信息 窃取 类 , 流 谍 行为 类 和 远程 控制 类 。 从 手机 平台 来 看 , 约 有 60.7% 的 恶意 
程序 针对 Symbian 平台 ,针对 Android 平台 的 恶意 程序 较 2010 年 大 幅 增 加 ,有 望 迅速 超过 
Symbian 平台 。2011 年 境内 约 712 万 个 上 网 的 智能 手机 曾 感染 手机 恶意 程序 ,严重 威胁 和 
损害 手机 用 户 的 权益 。 

(7) 木马 和 僵尸 网 络 活动 越发 独 狐 。2011 年 ,CNCERT 全 年 共 发 现 近 890 万 个 境内 主 
机 IP 地 址 感染 了 木马 或 僵尸 程序 , 较 2010 年 大 幅 增 加 78. 5%。 其 中 ,感染 闪 密 类 木马 的 
境内 主机 IP 地 址 为 5. 6 万 余 个 ,国家 、 企 业 以 及 网 民 的 信息 安全 面临 严重 威胁 。 

(8) 应 用 软件 漏洞 呈现 迅猛 增长 趋势 。2011 年 ,CNVD 共 收 集 整 理 并 公开 发 布 信息 安 
全 漏洞 5547 个 , 较 2010 年 大 幅 增加 60.9% 。 其 中 ,高危 漏 洞 有 2164 个 , 较 2010 年 增加 约 
2.3 倍 。 在 所 有 漏洞 中 ,涉及 各 种 应 用 程序 的 最 多 , 占 62. 6% ,涉及 各 类 网 站 系统 的 漏洞 位 
居 第 二 , 占 22.7% ,而 涉及 各 种 操作 系统 的 漏洞 则 排 到 第 三 位 , 占 8. 8%。 

(9) DDoS 攻击 仍然 呈现 频率 高 .规模 大 和 转嫁 攻击 的 特点 。2011 年 ,DDoS 仍然 是 影 
响 互联 网 安全 的 主要 因素 之 一 ,表现 出 三 个 特点 。 一 是 DDoS 攻击 事件 发 生 频 率 高 , 且 多 采 
用 虚假 源 IP 地 址 。 据 CNCERT 抽样 监测 发 现 ,我 国境 内 日 均 发 生 攻 击 总 流量 超过 1GB 的 
较 大 规模 的 DDoS 攻击 事件 365 起 。 其 中 ,TCP SYN FLOOD 和 UDP FLOOD 等 常见 虚假 
源 IP 地 址 攻击 事件 约 占 70% ,对 其 溯源 和 处 理 难度 较 大 。 二 是 在 经 济 利益 驱使 下 ,有 组 织 
的 DDoS 攻击 规模 十 分 巨大 ,难以 防范 。 三 是 受 攻击 方 恶 意 将 流量 转嫁 给 无 率 者 的 情况 屡 
见 不 鲜 。2011 年 多 家 省 部 级 政府 网 站 都 遭受 过 流量 转嫁 攻击 , 且 这 些 流量 转嫁 事件 多 数 是 
由 游戏 私服 网 站 争斗 引起 的 。 
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1.3.3 网 络 信息 安全 的 发 展 趋势 


随 着 我 国 互联 网 新 技术 .新 应 用 的 快速 发 展 ,2012 年 的 网 络 安全 形势 将 更 加 复杂 ,尤其 
需要 重点 关注 如 下 几 方 面 问题 。 

(1) 网 站 安全 面临 的 形势 可 能 更 加 严峻 ,网 站 中 集中 存储 的 用 户 信息 将 成 为 黑客 窃取 
的 重点 。 由 于 很 多 社交 网 站 论坛 等 网 站 的 安全 性 差 , 其 中 存储 的 用 户 信息 极 易 被 窃取 , 黑 
客 在 得 手 之 后 会 进一步 研究 利用 所 窃取 的 个 人 信息 ,结合 社会 工程 学 攻击 网 上 交易 等 重要 
系统 ,可 能 导致 更 严重 的 财产 损失 。 

(2) 随 着 移动 互联 网 应 用 的 丰富 和 3G、WiFi 网 络 的 快速 发 展 , 针 对 移动 互联 网 智能 终 
端的 恶意 程序 也 将 继续 增加 ,智能 终端 将 成 为 黑客 攻击 的 重点 目标 。 

(3) 随 着 我 国电 子 商 务 的 普及 ,网 民 的 理财 习惯 正 逐 步 向 网 上 交易 转移 ,针对 网 上 银 
行 . 证 券 机 构 和 第 三 方 支付 的 攻击 将 急剧 增加 。 针 对 金融 机 构 的 恶意 程序 将 更 加 专业 化 、 复 
杂 化 ,可 能 集 网 络 钓鱼 .网银 恶 意 程序 和 信息 窃取 等 多 种 攻击 方式 为 一 体 ,实施 更 具 威 胁 的 
攻击 。 

(4) APT9 攻击 将 更 加 盛行 ,网 络 窃 密 风险 加 大 。APT 攻击 具有 极 强 的 隐蔽 能 力 和 针 
对 性 ,传统 的 安全 防护 系统 很 难 防御 。 美 国 等 西方 发 达 国 家 已 将 APT 攻击 列 入 国家 网 络 
安全 防御 战略 的 重要 环节 ,2012 年 APT 攻击 将 更 加 系统 化 和 成 熟化 ,针对 重要 和 敏感 信息 
的 窃取 ,有 可 能 成 为 我 国政 府 ,企业 等 重要 部 门 的 严重 威胁 。 

(5) 随 着 2012 年 互联 网 名 称 与 数字 地 址 分 配 机 构 ICANN(The Internet Corporation 
for Assigned Names and Numbers) 正 式 启 动 新 通用 顶级 域名 (gTLD) 业 务 , 新 增 的 大 量 
gTLD 及 其 多 语言 域名 资源 ,将 给 域名 滥用 者 或 欺诈 者 带 来 更 大 的 操作 空间 。 

(6) 随 着 宽带 中 国 战略 开始 实施 ,国家 下 一 代 互 联网 启动 商用 试点 ,以 及 无 线 城市 的 大 
规模 推进 和 云 计 算 大 范围 投入 应 用 ,IPv6 网 络 安 全 ,无线 网 安全 和 云 计算 系统 及 数据 安全 
等 方面 的 问题 将 会 越 来 越 多 地 呈现 出 来 。 

因此 ,现在 不 管 是 企业 还 是 个 人 用 户 在 使 用 信息 产品 和 服务 的 时 候 , 都 开始 对 安全 问题 
表现 出 了 不 同 程度 的 担忧 ,安全 性 及 安全 功能 已 经 成 为 关心 的 重点 。 在 未 来 的 几 年 中 ,安全 
将 成 为 信息 网 络 的 必要 组 成 部 分 。 网 络 与 信息 安全 将 呈现 以 下 发 展 趋势 。 

1, 安全 需求 多 样 化 

随 着 我 国信 息 化 建设 的 推进 ,用 户 对 于 安全 保障 的 要 求 会 越 来 越 高 ,对 网 络 与 信息 安全 
的 需求 会 越 来 越 大 。 安 全 需求 将 会 从 单一 安全 产品 发 展 到 综合 防御 体系 ,从 某 一 点 的 安全 
建设 过 渡 到 整个 安全 体系 的 建设 。 网 络 与 信息 安全 部 署 的 重点 开始 由 网 络 安全 向 应 用 安全 
转变 ,应 用 安全 和 安全 管理 会 逐渐 热 起 来 。 

2. 技术 发 展 两 极 分 化 : 专 一 和 融合 

诸如 防火 墙 .IDS 内 容 管理 等 产品 方案 会 越 做 越 专 ,这 是 因为 在 安全 需求 较 高 的 电信 


四 APT 即 高 级 可 持续 威胁 (Advanced Persistent Threat) ,也 称 为 定向 威胁 , 指 某 组 织 对 某 一 特定 对 象 展开 的 持续 
有 效 的 攻击 活动 和 威胁 。 这 种 攻击 活动 具有 极 强 的 隐蔽 性 和 针对 性 ,通常 会 运用 受 感染 的 各 种 介质 ,供应 链 和 社会 工程 
学 等 多 种 手段 实施 先进 的 ,持久 的 且 有 效 的 威胁 和 攻击 。 黑 客 个 人 的 行为 一 般 不 能 构成 APT 攻击 ,因为 通常 情况 下 没 
有 足够 的 资源 来 开展 这 种 先进 且 复杂 的 攻击 活动 。 
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行业 须 应 对 复杂 多 变 的 安全 威胁 。 同 时 ,融合 也 是 一 种 趋势 ,基本 的 防火 墙 功 能 也 被 集成 到 
了 越 来 越 多 的 网 络 设备 当中 。 路 由 器 和 交换 机 设备 越 来 越 多 地 开始 整合 防火 墙 过 滤 功 能 。 
在 新 出 现 的 一 些 64 位 PC 主板 上 ,也 在 芯片 组 中 提供 了 防火 墙 功能 。 除 了 防火 墙 功能 之 
外 ,还 有 很 多 安全 功能 被 整合 进 了 各 种 产品 之 中 。 在 软件 领域 ,安全 功能 除了 在 软件 系统 中 
被 越 来 越 多 地 考虑 之 外 ,大 量 进行 网 络 管理 的 软件 都 增加 了 防范 恶意 程序 及 行为 的 机 制 。 

3. 安全 管理 体系 化 

“三 分 技术 ,七 分 管理 ”, 管 理 作为 网 络 与 信息 安全 保障 的 重要 基础 ,一 直 备 受 重视 。 在 
国家 宏观 管理 方面 ,我 国 将 在 “积极 防御 、 综 合 防 范 ” 的 管理 方针 指导 下 ,逐步 建立 并 完善 国 
家 信息 安全 管理 保障 体系 : 进一步 完善 国家 互联 网 应 急 响应 管理 体系 的 建设 ,加 快 网 络 与 
信息 安全 标准 化 的 制定 和 实施 工作 ,加 强 电信 安全 监管 和 信息 安全 等 级 保护 工作 ,对 电信 设 
备 的 安全 性 和 信息 安全 专用 产品 实行 强制 性 认证 等 。 在 网 络 信 息 系统 微观 管理 方面 ,网 络 
与 信息 安全 管理 正 逐 渐 成 为 企业 管理 越 来 越 关 键 的 一 部 分 , 越 来 越 多 的 企业 将 在 今后 几 年 
内 逐步 建立 自身 的 信息 安全 管理 体系 。 


1.4 安全 模型 


随 着 互联 网 络 的 快速 扩张 ,信息 的 交流 和 共享 成 为 现代 科技 进步 和 经 济 发 展 的 重要 前 
提 。 各 行 各 业 都 在 进行 大 规模 的 信息 化 建设 ,信息 安全 已 成 为 非常 重要 的 研究 课题 。 信 息 
安全 的 目的 是 保护 在 信息 系统 中 存储 和 处 理 信 息 的 安全 ,要 求 做 到 保密 性 .完整 性 .可 用 性 ， 
即 保密 性 : 防止 信息 的 泄露 ; 完整 性 : 防止 信息 的 算 改 ; 可 用 性 : 保证 信息 的 可 用 。 自 
20 世纪 70 年 代 起 ,Denning、Bell、Lapudula 和 Biba 等 人 对 信息 安全 进行 了 大 量 的 基础 研 
究 , 特 别 是 美国 提出 可 信 计 算 机 评估 标准 (TCSEC)》 以 来 ,系统 安全 模型 得 到 了 广泛 的 研究 ， 
并 在 各 种 系统 中 实现 了 多 种 安全 模型 。 


1.4.1 PRDR 模型 


P*DR 模型 是 可 适应 网 络 安 全 理论 或 动态 信息 安全 理论 的 主要 模型 。P:DR 模型 是 
TCSEC 模型 的 发 展 ,也 是 目前 被 普遍 采用 的 安全 模型 。P? DR 模型 包含 四 个 主要 部 分 -一 
Policy( 安 全 策略 )、Protection( 防 护 )、Detection( 检 测 ) 和 Response( 响 应 )。 防 护 、 检 测 和 响 
应 组 成 了 一 个 所 谓 的 “完整 的 ,动态 的 ”安全 循环 ,在 安全 策略 的 整体 指导 下 保证 信息 系统 的 
安全 。 

网 络 安全 防范 体系 应 该 是 动态 变化 的 。 安 全 防护 是 一 个 动态 的 过 程 ,P*DR 是 安 氏 推 
尝 的 基于 时 间 的 动态 安全 体系 。 

1. Policy( 安 全 策略 ) 

由 于 安全 策略 是 安全 管理 的 核心 ,所 以 要 想 实施 动态 网 络 安全 循环 过 程 ,必须 首先 制定 
企业 的 安全 策略 ,所 有 的 防护 .检测 .响应 都 是 依据 安全 策略 实施 的 ,企业 安全 策略 为 安全 管 
理 提供 管理 方向 和 支持 手段 。 对 于 一 个 策略 体系 的 建立 包括 安全 策略 的 制定 .安全 策略 的 
评估 安全 策略 的 执行 等 。 

2. Protection( 防 护 ) 

防护 通常 是 通过 采用 一 些 传 统 的 静态 安全 技术 及 方法 来 实现 的 ,主要 有 防火 墙 、 加 密 、 
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认证 等 方法 。 通 过 防火 墙 监视 并 限制 进出 网 络 的 数据 包 , 可 以 防范 外 对 内 及 内 对 外 的 非法 
访问 ,提高 了 网 络 的 防护 能 力 ,当然 需要 根据 安全 策略 制定 合理 的 防火 墙 策略 ; 也 可 以 利用 
SecureID 这 种 一 次 性 口令 的 方法 来 增加 系统 的 安全 性 ; 等 等 。 

3. Detection( 检 测 ) 

在 网 络 安全 循环 过 程 中 ,检测 是 非常 重要 的 一 个 环节 ,检测 是 动态 响应 的 依据 ,也 是 强 
制 落实 安全 策略 的 有 力 工具 ,通过 不 断 地 检测 和 监控 网 络 和 系统 ,来 发 现 新 的 威胁 和 弱点 ， 
通过 循环 反馈 来 及 时 做 出 有 效 的 响应 。 

4. Response( 响 应 ) 

紧急 响应 在 安全 系统 中 占有 最 重要 的 地 位 ,是 解决 安全 潜在 性 最 有 效 的 办 法 。 从 某 种 
意义 上 讲 ,安全 问题 就 是 要 解决 紧急 响应 和 异常 处 理 问 题 。 要 解决 好 紧急 响应 问题 ,就 要 制 
定好 紧急 响应 的 方案 ,做 好 紧急 响应 方案 中 的 一 切 准备 工作 。 


1.4.2 ”PDRR 网 络 安 全 模型 


PDRR 模型 就 是 4 个 英文 单词 一 Protection (防御 )、 Detection (检测 )、Response( 响 
应 ) Recovery( 恢 复 ) 的 头 字 符 。 这 四 个 部 分 构成 了 一 个 动态 的 信息 安全 周期 ,如 图 1-1, 安 
全 策略 的 每 一 部 分 包括 一 组 相应 的 安全 措施 来 实施 一 定 的 安全 功能 。 安 全 策略 的 第 一 部 分 
就 是 防御 。 根 据 系统 已 知 的 所 有 安全 问题 做 出 防御 的 措施 ,如 打 补 本 .访问 控制 .数据 加 密 
等 。 防 御 作 为 安全 策略 的 第 一 道 防线 。 安 全 策略 的 第 二 道 防线 就 是 检测 。 攻 击 者 如 果 穿 过 
了 防御 系统 ,检测 系统 就 会 检测 出 来 。 这 个 安全 战 
线 的 功能 就 是 检测 出 入侵 者 的 身份 ,包括 攻击 源 、 
系统 损失 等 。 一 旦 检测 出 入 侵 , 响 应 系统 开始 响 
应 ,包括 事件 处 理 和 其 他 业务 。 安 全 策略 的 最 后 一 
道 防线 就 是 系统 恢复 。 在 入 侵 事 件 发 生 后 ,把 系统 
恢复 到 原来 的 状态 。 每 次 发 生 入 侵 事 件 , 防 御 系 统 
都 要 更 新 ,保证 相同 类 型 的 入 侵 事 件 不 再 发 生 , 所 
以 整个 安全 策略 包括 防御 、 检 测 、 响 应 和 恢复 ,这 四 
个 方面 组 成 了 一 个 信息 安全 周期 。 

1. 防御 


网 络 安全 策略 PDRR 模型 的 最 重要 的 部 分 是 防护 (P)。 防 护 是 预先 阻止 可 能 发 生 攻 击 
的 条 件 的 产生 ,让 攻击 者 无 法 顺利 地 入 侵 , 防 护 可 以 减少 大 多 数 的 入 侵 事 件 。 

2. 检测 

PDRR 模型 的 第 二 个 环节 是 检测 (D)。 上 面 提 到 防护 系统 除 掉 入 侵 事 件 发 生 的 条 件 ， 
可 以 阻止 大 多 数 的 入 侵 事件 的 发 生 ,但 是 它 不 能 阻止 所 有 的 入 侵 。 特 别 是 那些 利用 新 的 系 
统 缺陷 .新 的 攻击 手段 的 入侵 。 因 此 安全 策略 的 第 二 个 安全 屏障 就 是 检测 , 即 如 果 入 侵 发 生 
就 检测 出 来 ,这 个 工具 是 入 侵 检 测 系统 (IDS) 。 

3. 响应 

PDRR 模型 中 的 第 三 个 环节 是 响应 (R)。 响 应 是 已 知 一 个 攻击 (入 侵 ) 事 件 发 生 之 后 ， 


图 1-1 PDRR 安全 模型 
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进行 处 理 。 在 一 个 大 规模 的 网 络 中 ,响应 这 项 工作 都 是 由 一 个 特殊 部 门 负责 , 那 就 是 计算 机 
响应 小 组 。 世 界 上 第 一 个 计算 机 响应 小 组 CERT, 位 于 美国 CMU 大 学 的 软件 研究 所 
(CSEI) ,于 1989 年 建立 ,是 世界 上 最 著名 的 计算 机 响应 小 组 。 从 CERT 建立 之 后 ,世界 各 国 
以 及 各 机 构 也 纷纷 建立 自己 的 计算 机 响应 小 组 。 我 国 第 一 个 计算 机 紧急 响应 小 组 
CCERT, 于 1999 年 建立 ,主要 服务 于 中 国教 育 和 科研 网 。 

人 入侵 事 件 的 报警 可 以 是 入 侵 检测 系统 的 报警 ,也 可 以 是 通过 其 他 方式 的 报警 。 响 应 的 
主要 工作 可 以 分 为 两 种 。 第 一 种 是 紧急 响应 ; 第 二 种 是 其 他 事件 处 理 。 紧 急 响应 是 当 安全 
事件 发 生 时 采取 应 对 措施 ,其 他 事件 主要 包括 咨询 .培训 和 技术 支持 。 

4. 恢复 

恢复 是 PDRR 模型 中 的 最 后 一 个 环节 。 恢 复 是 事件 发 生 后 ,把 系统 恢复 到 原来 的 状 
态 , 或 者 比 原来 更 安全 的 状态 。 恢 复 也 可 以 分 为 两 个 方面 : 系统 恢复 和 信息 恢复 。 系 统 恢 
复 指 的 是 修补 该 事件 所 利用 的 系统 缺陷 ,不 让 黑客 再 次 利用 这 样 的 缺陷 入 侵 。 一 般 系统 恢 
复 包括 系统 升级 ,软件 升级 和 打 补 丁 等 。 系 统 恢复 的 另 一 个 重要 工作 是 除去 后 门 。 一 般 来 
说 ,黑客 在 第 一 次 入 侵 的 时 候 都 是 利用 系统 的 缺陷 。 在 第 一 次 入 侵 成 功 之 后 ,黑客 就 在 系统 
打开 一 些 后 门 ,如 安装 一 个 特洛伊 木马 。 

所 以 ,尽管 系统 缺陷 已 经 打 补丁 ,黑客 下 一 次 还 可 以 通过 后 门人 侵 系统 。 系 统 恢复 都 是 
根据 检测 和 响应 环节 提供 有 关 事 件 的 资料 进行 的 。 信 息 恢复 指 的 是 恢复 丢失 的 数据 。 数 据 
丢失 的 原因 可 能 是 由 黑客 人 侵 造 成 的 ,也 可 以 是 由 系统 故障 .自然 灾害 等 原因 造成 的 。 信 息 
恢复 就 是 从 备份 和 归档 的 数据 恢复 原来 的 数据 。 信 息 恢复 过 程 与 数据 备份 过 程 有 很 大 的 关 
系 。 数 据 备份 做 得 是 否 充 分 对 信息 恢复 有 很 大 的 影响 。 信 息 恢复 过 程 是 有 优先 级 别 的 。 直 
接 影响 日 常生 活 和 工作 的 信息 必须 先 恢复 ,这 样 可 以 提高 信息 恢复 的 效率 。 


1.5 安全 体系 结构 


研究 信息 系统 安全 体系 结构 ,是 为 了 将 普遍 性 安全 体系 原理 与 自身 信息 系统 的 实际 相 
结合 ,形成 满足 信息 系统 安全 需求 的 安全 体系 结构 。 


1.5.1 1ISO 开放 系统 互 连 安全 体系 


在 安全 体系 结构 方面 ,ISO 制定 了 国际 标准 ISO 7498 一 2 一 1989《 信 息 处 理 系统 开放 系 
统 互 连 基本 参考 模型 第 2 部 分 : 安全 体系 结构 )。 该 标准 为 开放 系统 互 连 (OSD 描 述 了 基本 
参考 模型 ,为 协调 开发 现 有 的 与 未 来 的 系统 互 连 标准 建立 起 了 一 个 框架 。 其 任务 是 提供 安 
全 服务 与 有 关机 制 的 一 般 描 述 ,确定 在 参考 模型 内 部 可 以 提供 这 些 服务 与 机 制 的 位 置 。 

为 了 保证 异 构 计算 机 进程 与 进程 之 间 远 距离 交换 信息 的 安全 ,基于 OSI 参考 模型 的 七 
层 协议 ,ISO 开放 系统 互 连 安全 体系 结构 为 开放 系统 互 连 定义 了 五 大 类 安全 服务 ,同时 提供 
这 些 服务 的 八 类 安全 机 制 。 图 1-2 所 示 的 三 维 安全 空间 解释 了 这 一 体系 结构 。 

在 ISO 开放 系统 互 连 安全 体系 结构 中 ,一 种 安全 服务 可 以 通过 某 种 安全 机 制 单独 提 
供 ,也 可 以 通过 多 种 安全 机 制 联 合 提供 ; 一 种 安全 机 制 可 用 于 提供 一 种 或 多 种 安全 服务 。 
在 OSI 七 层 (物理 层 \ 数 据 链 路 层 、 网 络 层 ,传输 层 、 会 话 层 、 表 示 层 、 应 用 层 ) 协 议 中 除 第 五 
层 ( 会 话 层 ) 外 ,每 一 层 均 能 提供 相应 的 安全 服务 。 
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1-2 ISO 开放 系统 互 连 安全 体系 结构 


1.5.2 1ISO 开放 系统 互 连 安全 体系 的 五 类 安全 服务 

1. 鉴别 服务 

鉴别 服务 提供 对 通信 中 的 对 等 实体 和 数据 来 源 的 鉴别 。 包 括 对 等 实体 鉴别 和 数据 原 发 
鉴别 。 

对 等 实体 鉴别 : 当 由 第 N 层 提供 这 种 服务 时 ,将 使 第 N 十 1 层 实体 确信 与 之 打交道 的 
对 等 实体 正 是 它 所 需 的 N 十 1 实体 。 

这 种 服务 在 连接 建立 或 在 数据 传送 阶段 的 某 些 时 刻 提供 使 用 ,用 以 证 实 一 个 或 多 个 连 
接 实 体 的 身份 。 使 用 这 种 服务 可 以 ( 仅 在 使 用 时 间 内 ) 确 信 : 一 个 实体 此 时 没有 试图 冒充 别 
的 实体 ,或 没有 试图 将 先前 的 连接 作 非 授权 地 重 放 ; 实施 单 向 或 双向 对 等 实体 鉴别 也 是 可 
能 的 ,可 以 带 有 效 期 检验 ,也 可 以 不 带 。 这 种 服务 能 够 提供 各 种 不 同 程度 的 鉴别 保护 。 

数据 原 发 鉴别 当 由 第 N 层 提供 这 种 服务 时 ,将 使 N 十 1 实体 确信 数据 来 源 正 是 所 要 
求 的 对 等 N 十 1 实体 。 数 据 原 发 鉴别 服务 对 数据 单元 的 来 源 提供 识别 。 这 种 服务 对 数据 单 
元 的 重复 或 算 改 不 提供 鉴别 保护 。 

2. 访问 控制 服务 

访问 控制 服务 主要 是 以 资源 使 用 的 等 级 划分 资源 使 用 者 的 授权 范围 ,来 对 抗 开放 系统 
互 连 可 访问 资源 的 非 授权 使 用 。 这 些 资源 可 以 是 经 开放 互 连 协议 可 访问 到 的 OSI 资源 或 
非 OSI 资源 。 这 种 保护 服务 可 应 用 于 对 各 种 不 同类 型 的 资源 的 访问 (例如 ,使 用 通信 资源 ， 
读 、 写 或 删除 信息 资源 ,处 理 资 源 的 操作 ) ,或 应 用 于 对 某 种 资源 的 所 有 访问 。 

3. 数据 机 密 性 服务 


数据 机 密 性 服务 对 数据 提供 保护 ,使 之 不 被 非 授 权 地 泄露 ,包括 4 种 。 

第 一 ,连接 机 密 性 。 这 种 服务 为 一 次 N 连接 上 的 所 有 N 用 户 数据 保证 其 机 密 性 。 但 
对 于 某 些 使 用 中 的 数据 ,或 在 某 些 层 次 上 ,将 所 有 数据 都 保护 起 来 反而 是 不 适宜 的 ,例如 加 
速 数据 或 连接 请 求 中 的 数据 。 

第 二 ,无 连接 机 密 性 。 这 种 服务 为 单个 无 连接 的 N SDU(Service Data Unit, 服 务 数据 
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单元 ) 中 的 全 部 N 用 户 数据 提供 机 密 性 保护 。 

第 三 ,选择 字段 机 密 性 。 这 种 服务 保证 那些 被 选择 的 字段 的 机 密 性 ,这 些 字段 或 处 于 
NN 连接 的 NN 用 户 数据 中 ,或 为 单个 无 连接 的 N SDU 中 的 字段 。 

第 四 ,通信 业务 流 机 密 性 。 这 种 服务 提供 的 保护 使 得 通过 观察 通信 业务 流 是 不 可 能 推 
断 出 其 中 的 机 密 信 息 的 。 

4. 数据 完整 性 服务 

数据 完整 性 服务 用 于 对 付 主 动 威胁 方面 。 

在 一 次 连接 上 ,连接 开始 时 使 用 对 某 实体 鉴别 服务 ,在 连接 的 存活 期 使 用 数据 完整 性 服 
务 , 两 种 服务 的 联合 为 此 连接 上 传送 的 所 有 数据 单元 的 来 源 提供 保证 ,为 这 些 数据 单元 的 完 
整 性 提供 保证 ,如 使 用 顺序 号 ,还 可 以 附加 为 数据 单元 的 重复 提供 检测 。 

(1) 带 恢 复 的 连接 完整 性 。 这 种 服务 为 N 连接 上 的 所 有 N 用 户 数 据 保证 其 完整 性 ,并 
检测 整个 SDU 序列 中 的 数据 遭 到 的 任何 算 改 、 插 入 、 删 除 ,同时 进行 补救 /恢复 。 

(2) 不 带 恢 复 的 连接 完整 性 。 与 上 款 的 服务 相同 ,只 是 不 作 补救 恢复 。 

(3) 选择 字段 的 连接 完整 性 。 这 种 服务 为 在 一 次 连接 上 传送 的 N SDU 的 N 用 户 数据 
中 的 选择 字段 保证 其 完整 性 ,所 取 形 式 是 确定 这 些 被 选 字段 是 否 遭 受 了 筑 改 插入、 删除 。 

(4) 无 连接 完整 性 。 当 由 N 层 提供 这 种 服务 时 ,对 发 出 请 求 的 那个 N 十 1 层 实体 提供 
了 完整 保护 。 

这 种 服务 为 单个 无 连接 上 的 SDU 保证 其 完整 性 ,所 取 形 式 可 以 是 一 个 接收 到 的 SDU 
是 否 遭 受 了 算 改 。 此 外 ,在 一 定 程度 上 也 能 提供 对 连接 重 放 的 检测 。 

(5) 选择 字段 无 连接 完整 性 。 这 种 服务 为 单个 无 连接 上 的 SDU 中 的 被 选 字段 保证 其 
完整 性 ,所 取 形 式 是 被 选 字段 是 否 遭 受 了 筑 改 。 

5. 抗 抵赖 

抗 抵赖 这 种 服务 可 取 以 下 两 种 形式 ,或 两 者 之 一 。 

其 一 是 有 数据 原 发 证 明 的 抗 抵赖 。 为 数据 的 接收 者 提供 数据 的 原 发 证 据 , 这 将 使 发 送 
者 否认 发 送 过 这 些 数据 或 否认 其 内 容 的 企图 不 能 得 有 运 。 

其 二 是 有 交付 证 明 的 抗 抵赖 。 为 数据 的 发 送 者 提供 数据 交付 证 据 , 这 将 使 接收 者 否认 
收 到 过 这 些 数 据 或 否认 其 内 容 的 企图 不 能 得 运 。 


1.5.3 ISO 开放 系统 互 连 安全 体系 的 安全 机 制 


下 列 6 种 安全 机 制 可 以 设置 在 适当 的 N 层 上 ,以 提供 前 面 所 述 的 某 些 安全 服务 。 

1. 加 密 

(1) 加 密 既 能 为 数据 提供 机 密 性 ,也 能 为 通信 业务 流 信 息 提供 机 密 性 ,并 且 还 成 为 其 他 
安全 机 人 制 中 的 一 部 分 或 起 补充 作用 。 

大 多 数 应 用 将 不 要 求 在 多 个 层 上 加 密 , 加 密 层 的 选取 主要 取决 于 下 述 几 个 因素 。 

第 一 ,如 果 要 求 整个 通信 业务 流 机 密 性 ,那么 将 选取 物理 层 加 密 或 传输 安全 手段 (例如 ， 
适当 的 扩 频 技术 )。 足 够 的 物理 安全 可 信任 的 路 由 选择 以 及 在 中 继 上 的 类 似 功能 可 以 满足 
所 有 的 机 密 性 要 求 。 

第 二 ,如 果 要 求 细 粒 度 保护 ( 即 对 每 个 应 用 可 能 提供 不 同 的 密 钥 ) 和 抗 抵赖 或 选择 字段 
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保护 ,那么 将 选取 表示 层 加 密 。 由 于 加 密 算 法 耗费 大 量 的 处 理 能 力 , 所 以 选择 字段 保护 可 能 
是 重要 的 。 在 表示 层 中 的 加 密 能 提供 不 带 恢复 的 完整 性 、 抗 抵赖 性 以 及 所 有 的 机 密 性 。 

第 三 ,如 果 和 希望 的 是 所 有 端 系统 到 端 系统 通信 的 简单 块 保护 ,或 希望 有 一 个 外 部 的 加 密 
设备 (例如 为 了 给 算法 和 密 钥 以 物理 保护 ,或 防止 错误 软件 ) ,那么 将 选取 网 络 层 加 密 。 这 能 
够 提供 机 密 性 与 不 带 恢复 的 完整 性 。 虽 然 在 网 络 层 不 提供 恢复 ,但 运输 层 的 正常 的 恢复 机 
制 能 够 用 来 恢复 网 络 层 检测 到 的 攻击 。 

第 四 ,如 果 要 求 带 恢复 的 完整 性 ,同时 又 具有 细 粒 度 保护 ,那么 将 选取 运输 层 加 密 。 这 
能 提供 机 密 性 、 带 恢复 的 完整 性 或 不 带 恢复 的 完整 性 。 

第 五 ,对 于 今后 的 实施 ,不 推荐 在 数据 链 路 层 上 加 密 。 

当 关 系 到 这 些 主要 因素 中 的 两 项 或 多 项 时 ,加 密 可 能 需要 在 多 个 层 上 提供 。 

(2) 加 密 算 法 可 以 是 可 逆 的 ,也 可 以 是 不 可 逆 的 。 可 逆 加 密 算法 有 两 大 类 。 

第 一 类 是 对 称 ( 即 秘密 密 钥 ) 加 密 。 对 于 这 种 加 密 , 知 道 了 加 密 密 钥 也 就 意味 着 知道 了 
解密 密 钥 ,反之 亦 然 。 

第 二 类 是 非 对 称 (例如 公开 密 钥 ) 加 密 。 对 于 这 种 加 密 , 知 道 了 加 密 密 钥 并 不 意味 着 也 
知道 解密 密 钥 ,反之 亦 然 。 这 种 系统 的 这 样 两 个 密 钥 分 别称 为 “ 公 钥 ”与 “ 私 钥 ”。 

不 可 逆 加 密 算法 可 以 使 用 密 钥 ,也 可 以 不 使 用 。 若 使 用 密 钥 , 这 密 钥 可 以 是 公开 的 ,也 
可 以 是 秘密 的 。 

(3) 除了 某 些 不 可 逆 加 密 算法 外 ,加 密 机 制 的 存在 便 意 味 着 要 使 用 密 钥 管理 机 制 。 

2. 数字 签名 机 制 

数字 签名 机 制 确定 两 个 过 程 一 一 对 数据 单元 签名 和 验证 签 过 名 的 数据 单元 。 

第 一 个 过 程 使 用 签名 者 所 私有 的 ( 即 独 有 的 和 机 密 的 ) 信 息 。 第 二 个 过 程 所 用 的 信息 是 
公之于众 的 ,但 不 能 够 从 它们 推断 出 该 签名 者 的 私有 信息 。 

(1) 签名 过 程 涉 及 使 用 签名 者 的 私有 信息 作为 私 钥 ,或 对 数据 单元 进行 加 密 ,或 产生 出 
该 数据 单元 的 一 个 密码 校 验 值 。 

(2) 验证 过 程 涉及 使 用 公开 的 规程 与 信息 来 决定 该 签名 是 不 是 用 签名 者 的 私有 信息 产 
生 的 。 

(3) 签名 机 制 的 本 质 特征 为 该 签名 只 有 使 用 签名 者 的 私有 信息 才能 产生 出 来 。 因 而 ， 
当 该 签名 得 到 验证 后 , 它 能 在 事后 的 任何 时 候 向 第 三 者 (例如 法 官 或 仲裁 人 ) 证 明 : 只 有 那 
个 私有 信息 的 唯一 拥有 者 才能 产生 这 个 签名 。 

3. 访问 控制 机 制 

(1) 为 了 决定 和 实施 一 个 实体 的 访问 权 , 访 问 控 制 机 制 可 以 使 用 该 实体 已 鉴别 的 身份 ， 
或 使 用 有 关 该 实体 的 信息 (例如 它 与 一 个 已 知 的 实体 集 的 从 属 关系 ) ,或 使 用 该 实体 的 权力 。 
如 果 这 个 实体 试图 使 用 非 授权 的 资源 ,或 者 以 不 正当 方式 使 用 授权 资源 ,那么 访问 控制 功能 
将 拒绝 这 一 企图 ,还 可 能 产生 一 个 报警 信号 或 把 它 作为 安全 审计 跟踪 的 一 个 部 分 记录 下 来 
或 报告 这 一 事件 。 对 于 无 连接 数据 传输 ,发 给 发 送 者 的 拒绝 访问 的 通知 只 能 作为 强加 于 原 
发 的 访问 控制 结果 被 提供 。 

(2) 访问 控制 机 制 可 以 建立 在 使 用 下 列 一 种 或 多 种 手段 之 上 。 

a 访问 控制 信息 库 : 在 这 里 保存 有 对 等 实体 的 访问 权限 。 这 些 信息 可 以 由 授权 中 心 


18 
攻 


保存 ,或 由 正 被 访问 的 那个 实体 保存 。 该 信息 的 形式 可 以 是 一 个 访问 控制 表 , 也 可 以 是 等 级 
结构 的 矩阵 。 还 要 预先 假定 对 等 实体 的 鉴别 已 得 到 保证 。 

@ 鉴别 信息 : 例如 口令 ,对 这 一 信息 的 占有 和 出 示 便 证 明正 在 进行 访问 的 实体 已 被 
授权 。 

加 权力 : 对 它 的 占有 和 出 示 便 证 明 有 权 访 问 由 该 权力 所 规定 的 实体 或 资源 ,权力 应 是 
不 可 伪造 的 并 以 可 信赖 的 方式 进行 传送 。 

@ 安全 标记 : 当 与 一 个 实体 相关 联 时 ,这 种 安全 标记 可 用 来 表示 同意 或 拒绝 访问 , 通 
常 根据 安全 策略 而 定 。 

试图 访问 的 时 间 。 

@ 试图 访问 的 路 由 。 

@ 访问 持续 期 。 

(3) 访问 控制 机 制 可 应 用 于 通信 联系 中 的 一 个 端点 ,也 可 以 应 用 于 任 一 中 间 点 。 

涉及 原 发 点 或 任 一 中 间 点 的 访问 控制 ,是 用 来 决定 发 送 者 是 否 被 授权 与 指定 的 接收 者 
进行 通信 ,或 是 否 被 授权 使 用 所 要 求 的 通信 资源 。 

在 无 连接 数据 传输 目的 端 上 的 对 等 级 访问 控制 机 制 的 要 求 在 原 发 点 必须 事先 知道 ,并 
必须 记录 在 安全 管理 信息 库 中 。 

4. 数据 完整 性 机 制 

(1) 数据 完整 性 有 单个 数据 单元 或 字段 的 完整 性 以 及 数据 单元 流 或 字段 流 的 完整 性 两 
种 类 型 。 一 般 来 说 ,用 来 提供 这 两 种 类 型 完整 性 服务 的 机 制 是 不 相同 的 ,没有 第 一 类 完整 性 
服务 ,第 二 类 服务 是 无 法 提供 的 。 

(2) 决定 单个 数据 单元 的 完整 性 涉及 两 个 过 程 ,一 个 在 发 送 实体 上 ,一 个 在 接收 实体 
上 。 发 送 实体 给 数据 单元 附加 一 个 量 , 这 个 量 为 该 数据 的 函数 。 这 个 量 可 以 是 像 分 组 校 验 
码 那样 的 补充 信息 ,也 可 以 是 一 个 密码 校 验 值 ,而 且 它 本 身 可 以 被 加 密 。 接 收 实体 产生 一 个 
相应 的 量 , 并 把 它 与 接收 到 的 那个 量 进行 比较 以 决定 该 数据 是 否 在 传送 中 被 算 改 过 。 单 靠 
这 种 机 制 不 能 防止 单个 数据 单元 的 重 放 。 在 网 络 体系 结构 的 适当 层 上 ,操作 检测 可 能 在 本 
层 或 较 高 层 上 导致 恢复 (例如 经 重 传 或 纠 错 ) 作 用 。 

(3) 对 于 连接 方式 数据 传送 ,保护 数据 单元 序列 的 完整 性 ( 即 防止 乱 序 数据 的 丢失 、 重 
放 、 插 入 和 复 改 ) 还 需要 某 种 明显 的 排序 形式 ,例如 顺序 号 .时 间 标 记 或 密码 链 。 

(4) 对 于 无 连接 数据 传送 ,时 间 标 记 可 以 用 来 在 一 定 程度 上 提供 保护 作用 ,防止 个 别 数 
据 单元 的 重 放 。 

5. 鉴别 交换 机 制 

(1) 可 用 于 鉴别 交换 的 一 些 技术 是 : 使 用 鉴别 信息 ,如 口令 ,由 发 送 实体 提供 而 由 接收 
实体 验证 ; 密码 技术 ; 使 用 该 实体 的 特征 或 占有 物 。 

(2) 这 种 机 制 可 设置 在 N 层 以 便 提供 对 等 实体 鉴别 。 如 果 在 鉴别 实体 时 这 一 机 制 得 
到 否定 的 结果 ,就 会 拒绝 或 终止 连接 ,也 可 能 在 安全 审计 跟踪 中 增加 一 个 记录 ,或 给 安全 管 
理 中 心 一 个 报告 。 

(3) 当 采 用 密码 技术 时 ,这 些 技术 可 以 与 “握手 ”协议 结合 起 来 以 防止 重 放 ( 即 确保 存活 期 )。 

(4) 鉴别 交换 技术 的 选用 取决 于 使 用 它们 的 环境 。 在 许多 场合 ,它们 将 必须 与 下 列 各 
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项 结合 使 用 : 时 间 标 记 与 同步 时 钟 ; 两 方 握手 和 三 方 握手 (分 别 对 应 于 单方 鉴别 与 相互 鉴 
别 ); 由 数字 签名 和 公证 机 制 实现 的 抗 抵赖 服务 。 

6. 通信 业务 填充 机 制 

通信 业务 填充 机 制 能 用 来 提供 各 种 不 同 级 别 的 保护 ,对 抗 通信 业务 分 析 。 这 种 机 制 只 
有 在 通信 业务 填充 受到 机 密 服务 保护 时 才 是 有 效 的 。 


1.6 计算 机 安全 的 规范 与 标准 


信息 安全 标准 是 确保 信息 安全 的 产品 和 系统 在 设计 研发. 生产, 建设、 使 用 ,测评 中 解 
决 其 一 致 性 .可靠 性 .可 控 性 .先进 性 和 符合 性 的 技术 规范 和 技术 依据 。 

信息 安全 标准 化 工作 对 于 解决 信息 安全 问题 具有 重要 的 技术 支撑 作用 。 信 息 安全 标准 
化 不 仅 关 系 到 国家 安全 ,同时 也 是 保护 国家 利益 、 促 进 产 业 发 展 的 一 种 重要 手段 。 在 互联 网 
飞速 发 展 的 今天 ,网 络 和 信息 安全 问题 不 容 忽 视 , 积 极 推动 信息 安全 标准 化 , 牢 牢 掌握 在 信 
息 时 代 全 球 化 竞争 中 的 主动 权 是 非常 重要 的 。 由 此 可 以 看 出 ,信息 安全 标准 化 工作 是 一 项 
艰巨 .长 期 的 基础 性 工作 。 


1.6.1 国际 信息 安全 标准 化 工作 的 情况 


国际 上 ,信息 安全 标准 化 工作 ,兴起 于 20 世纪 70 年 代 中 期 ,在 20 世纪 80 年 代 有 了 较 
快 的 发 展 ,在 20 世纪 90 年 代 引 起 了 世界 各 国 的 普遍 关注 。 目 前 世界 上 有 近 300 个 国际 和 
区 域 性 组 织 ,制定 标准 或 技术 规则 ,与 信息 安全 标准 化 有 关 的 主要 的 组 织 有 国际 标准 化 组 织 
(ISO) 、 国 际 电 工 委员 会 (IEC) 、 国 际 电 信 联 盟 (ITU) 和 Internet 工程 任务 组 (IETF) 等 。 

国际 标准 化 组 织 (ISO) 于 1947 年 2 月 23 日 正式 开始 工作 ,ISO/VIEC JTC1( 信 息 技 术 标 
准 化 委员 会 ) 所 属 SC27( 安 全 技术 分 委员 会 ) 其 前 身 是 SC20( 数 据 加 密 分 技术 委员 会 ) ,主要 
从 事 信息 技术 安全 的 一 般 方法 和 技术 的 标准 化 工作 。 而 ISO/TC68 负责 银行 业务 应 用 范围 
内 有 关 信 息 安全 标准 的 制定 , 它 主 要 制定 行业 应 用 标准 ,在 组 织 上 和 标准 之 间 与 SC27 有 着 
密切 的 联系 。ISO/IEC JTC1 负责 制定 标准 主要 是 开放 系统 互 连 、 密 钥 管理 数字 签名 、 安 
全 的 评估 等 方面 的 内 容 。 

国际 电工 委员 会 (IEC) 正 式 成 立 于 1906 年 10 月 ,是 世界 上 成 立 最 早 的 专门 国际 标准 
化 机 构 。 在 信息 安全 标准 化 方面 ,主要 与 ISO 联合 成 立 了 JTC1( 第 一 联合 技术 委员 会 ) 下 
分 委员 会 外 ,还 在 电信 、 电 子 系统 、 信 息 技术 和 电磁 兼容 等 方面 成 立 技术 委员 会 ,如 TC56 可 
靠 性 、TC74 IT 设备 安全 和 功效 `TC77 电磁 兼容 .TC 108 音频 /视频 .信息 技术 和 通信 技术 
电子 设备 的 安全 等 ,并 制定 相关 国际 标准 ,如 信息 技术 设备 安全 (IEC 60950) 等 。 

国际 电信 联盟 (ITU) 成 立 于 1865 年 5 月 17 日 ,所 属 的 SG17 组 ,主要 负责 研究 通信 系 
统 安全 标准 。SG17 组 主要 研究 通信 安全 项 目 、 安 全 架构 和 框架 .计算 安全 、 安 全 管理 .用 于 
安全 的 生物 测定 和 安全 通信 服务 。 此 外 SG16 和 下 一 代 网 络 核心 组 也 在 通信 安全 、H323 网 
络 安 全 、 下 一 代 网 络 安全 等 标准 方面 进行 了 研究 。 目 前 ITU-T 建议 书 中 有 40 多 个 标准 都 
是 与 通信 安全 有 关 的 。 

Internet 工程 任务 组 (IETF) 始 创 于 1986 年 ,其 主要 任务 是 负责 互联 网 相关 技术 规范 的 
研发 和 制定 。 目 前 ,IETF 已 成 为 全 球 互联 网 界 最 具 权 威 的 大 型 技术 研究 组 织 。IETEF 标准 
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制定 的 具体 工作 由 各 个 工作 组 承担 ,工作 组 分 成 八 个 领域 ,分 别 是 Internet 路 由 、 传 输 、 应 用 
领域 等 ,著名 的 IKE 和 IPSec 都 在 RFC 系列 之 中 ,还 有 电子 邮件 、 网 络 认证 和 密码 标准 ,也 
包括 了 TLS 标准 和 其 他 安全 协议 标准 。 


1.6.2 我 国信 息 安全 标准 化 的 现状 


信息 安全 标准 是 我 国信 息 安全 保障 体系 的 重要 组 成 部 分 ,是 政府 进行 宏观 管理 的 重要 
依据 。 虽 然 国 际 上 有 很 多 标准 化 组 织 在 信息 安全 方面 制定 了 许多 的 标准 ,但 是 信息 安全 标 
准 事 关 国家 安全 利益 ,任何 国家 都 不 会 轻易 相信 和 过 分 依赖 别人 ,总 要 通过 自己 国家 的 组 织 
和 专家 制定 出 自己 可 以 信任 的 标准 来 保护 民族 的 利益 。 因 此 ,各 个 国家 在 充分 借鉴 国际 标 
准 的 前 提 下 ,制定 和 扩展 自己 国家 对 信息 安全 的 管理 领域 ,这 样 ,就 出 现 许 多 国家 建立 自己 
的 信息 安全 标准 化 组 织 和 制定 本 国 的 信息 安全 标准 。 

目前 ,我 国 按照 国务 院 授权 ,在 国家 质量 监督 检验 检疫 总 局 管理 下 ,由 国家 标准 化 管理 
委员 会 统一 管理 全 国标 准 化 工作 ,下 设 有 255 个 专业 技术 委员 会 。 中 国标 准 化 工作 实行 统 
一 管理 与 分 工 负 责 相 结合 的 管理 体制 ,有 88 个 相关 行政 主管 部 门 和 国务 院 授权 的 有 关 行 业 
协会 分 工 管理 本 部 门 、 本 行业 的 标准 化 工作 ,有 31 个 省 .自治 区 .直辖 市 政府 有 关 行 政 主管 
部 门 分 工 管理 本 行政 区 域内 本 部 门 .本 行业 的 标准 化 工作 。 成 立 于 1984 年 的 全 国信 息 技术 
安全 标准 化 技术 委员 会 (CITS) ,在 国家 标准 化 管理 委员 会 和 信息 产业 部 的 共同 领导 下 负责 
全 国信 息 技术 领域 以 及 与 ISO/IEC JTC1 相对 应 的 标准 化 工作 ,目前 下 设 24 个 分 技术 委员 
会 和 特别 工作 组 ,是 目前 国内 最 大 的 标准 化 技术 委员 会 。 它 是 一 个 具有 广泛 代表 性 、 权 威 性 
和 军民 结合 的 信息 安全 标准 化 组 织 。 全 国信 息 技术 安全 标准 化 技术 委员 会 的 工作 范围 是 负 
责 信息 和 通信 安全 的 通用 框架 方法、 技术 和 机 制 的 标准 化 ,其 技术 安全 包括 开放 式 安全 体 
系 结构 ,各 种 安全 信息 交换 的 语义 规则 、 有 关 的 应 用 程序 接口 和 协议 引用 安全 功能 的 接 
得 等 。 

我 国信 息 安 全 标准 化 工作 ,虽然 起 步 较 晚 ,但 是 近年 来 发 展 较 快 ,入 世 后 标准 化 工作 在 
公开 性 、 透 明度 等 方面 更 是 取得 了 实质 性 进展 。 我 国 从 20 世纪 80 年 代 开 始 , 本 着 积极 采用 
国际 标准 的 原则 ,转化 了 一 批 国际 信息 安全 基础 技术 标准 ,制定 了 一 批 符合 中 国 国 情 的 信息 
安全 标准 ,同时 一 些 重点 行业 还 颁布 了 一 批 信息 安全 的 行业 标准 ,为 我 国信 息 安 全 技术 的 发 
展 做 出 了 很 大 的 贡献 。 据 统计 ,我 国 从 1985 年 发 布 了 第 一 个 有 关 信 息 安全 方面 的 标准 以 
来 ,到 2004 年 底 共 制 定 、 报 批 和 发 布 有 关 信息 安全 技术 、 产 品 、 测 评 和 管理 的 国家 标准 76 
个 ,正在 制定 中 的 标准 51 个 ,为 信息 安全 的 开展 奠定 了 基础 。 


习题 1 


1. P?DR 模型 主要 内 容 是 什么 ? 

2. PDRR 模型 主要 内 容 是 什么 ? 

3. ISO 开放 系统 互 连 安全 体系 定义 了 五 大 类 安全 服务 ,同时 提供 这 些 服务 的 八 类 安全 
机 制 , 它 们 的 内 容 是 什么 ? 

4. 为 什么 要 制定 计算 机 安全 的 规范 与 标准 ? 
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密码 学 (Cryptography) 的 历史 非常 悠久 。 在 几 千 年 前 的 古 希 腊 战 争 中 ， 
人 们 就 常常 通过 密码 来 传递 各 种 信息 。 在 20 世纪 的 两 次 世界 大 战 中 ,密码 
学 更 是 得 到 了 广泛 的 应 用 和 长 足 的 发 展 ,英国 对 德国 所 使 用 的 ENIGMA 密 
码 的 破译 ,是 直接 改变 二 战 战 争 形势 的 因素 之 一 。 现 代 的 信息 战 ,更 是 离 不 
开 密 码 学 。 在 我 们 的 生活 中 ,密码 学 的 运用 也 是 举 不 胜 举 : 在 取款 机 上 取现 
金 , 需 要 输入 密码 ; 访问 电子 邮箱 ,需要 输入 密码 ; 打开 即时 通信 工具 ,也 需 
要 提供 密码 …… 总 之 ,密码 无 处 不 在 ! 

那么 究竟 密码 学 研究 什么 呢 ? 密码 学 是 主要 研究 密码 编码 和 解码 的 一 
种 学 科 , 其 主要 目标 是 提供 不 安全 的 信道 上 的 安全 通信 机 制 。 

在 网 络 中 ,一 个 通信 系统 是 由 在 同一 信道 上 进行 通信 的 双方 组 成 的 。 通 
信 双 方 需要 交换 信息 ,而 他 们 都 不 希望 这 样 的 信息 被 其 他 人 窗 听 。 密 码 学 正 
是 一 种 能 够 有 效 防 止 信息 在 传输 过 程 中 被 窃听 的 安全 机 制 。 

密码 学 的 研究 需要 数论 、 群 论 , 概 率 论 \ 信 息 论 .复杂 性 理论 等 很 多 学 科 
的 知识 。 为 了 使 本 书 通俗 易 懂 ,我 们 省 略 了 复杂 的 数学 知识 。 本 章 首先 简单 
地 介绍 密码 学 的 主要 概念 和 主要 目标 ,接着 论述 相关 的 加 解密 技术 ,包括 经 
典 密码 体制 和 现代 密码 体制 。 最 后 作 了 一 个 简单 的 总 结 。 


2.1 密码 学 基本 概念 


密码 学 主要 包含 两 个 分 支 : 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 主要 
研究 如 何 将 明文 转换 为 密 文 。 与 此 相反 ,密码 分 析 学 主要 研究 如 何 破译 密 文 
得 到 相应 的 明文 。 


2.1.1 加 密 与 解密 


消息 (Message) 被 称 为 明文 (Plain-text)。 明 文 的 取 值 范围 称 为 明文 空 
间 。 明 文 可 以 是 一 个 二 进 制 序 列 ,一 个 文本 ,一 张 图 片 ,一 段 声音 或 是 一 段 录 
像 。 隐 藏 消息 内 容 的 过 程 称 为 加 密 , 隐 藏 消息 的 方法 称 为 加 密 算 法 ,所 使 用 
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的 密 钥 称 为 加 密 密 钥 。 加 密 后 的 消息 被 称 为 密 文 (Cipher-text) 。 密 文 的 取 值 范围 称 为 密 文 
空间 。 相 应 地 ,根据 密 文 恢复 消息 内 容 的 过 程 称 为 解密 ,恢复 消息 的 方法 称 为 解密 算法 ,所 
使 用 的 密 钥 称 为 解密 密 钥 。 加 密 算法 和 解密 算法 统称 为 密码 算法 。 

将 明文 变换 为 密 文 ,有 两 种 方法 : 替换 法 (substitution) 和 变换 法 (transposition) 。 所 谓 
替换 法 ,就 是 将 明文 消息 的 每 个 字母 (单词 ) 蔡 换 成 其 他 的 字母 (单词 )。 而 变换 法 是 将 明文 
消息 的 字母 重新 排列 组 合 而 得 到 密 文 。 

图 2-1 说 明了 加 密 和 解密 的 过 程 。 


Je | 密 钥 kK 


明文 MM 密 文 C 明文 
时 文才 [i 窗 算 法 E | 宇文 C。[ 解密 算法 D 上装 


2-1 加 密 和 解密 过 程 


输入 明文 M 在 密 钥 ， 和 加 密 算法 EE 的 作用 下 变 为 密 文 C。 密 文 C 在 密 钥 KK, 和 人 解密 
算法 D 的 作用 下 变 为 明文 M。( 注 意 : 根据 K, 入 , 是 否 相 同 ,可 以 将 密码 算法 分 为 两 类 ， 
见 3. 3 节 ), 用 数学 公式 表示 如 下 。 

加 密 : C 一 ECK, ,M) 

解密 : M==D(K;, ,C) 

为 了 使 加 密 后 再 解密 可 以 恢复 出 明文 ,下 述 等 式 应 当成 立 : 

M= D(K;,,E(K',M)) 

这 里 需要 强调 的 是 : 密码 算法 的 保密 性 必须 是 基于 保持 密 钥 的 秘密 ,而 不 是 基于 保持 
加 解密 算法 的 秘密 。 如 果 一 个 密码 算法 的 保密 性 是 基于 保持 加 解密 算法 的 秘密 ,那么 该 算 
法 称 为 受 限制 的 算法 ,如 换 位 密码 。 这 种 算法 在 历史 上 曾经 大 显 身 手 , 但 很 难 适 应 当今 的 应 
用 需求 。 特 别 是 在 一 个 大 的 团体 组 织 中 ,如 果 一 个 人 泄漏 了 该 算法 ,那么 所 有 人 都 不 得 不 改 
用 另外 的 算法 。 尽 管 这 样 , 在 低 密级 的 应 用 中 , 受 限制 的 算法 还 是 得 到 了 广泛 的 应 用 ,因为 
实施 简单 。 

现代 密码 学 所 使 用 的 算法 都 是 基于 保持 密 钥 的 秘密 。 密 钥 是 一 个 随机 值 ,用 KK 表示 ， 
密 钥 的 取 值 范围 称 为 密 钥 空 间 。 由 于 只 需要 保持 密 钥 的 安全 性 ,这 就 使 得 密码 算法 可 以 公 
开 , 当 然 也 可 以 被 分 析 和 攻击 。 

密码 算法 、 明 文 空间 、 密 文 空间 以 及 密 钥 , 一 同 构 成 了 密码 系统 。 


2.1.2 密码 分 析 


对 于 不 同 的 密码 算法 ,有 不 同 的 密码 分 析 方 法 。 这 在 一 些 专门 论述 密码 分 析 学 的 书 中 
得 到 了 详尽 的 阐述 。 

密码 编码 学 的 主要 目的 是 防止 明文 被 窃听 者 窃取 并 阅读 。 这 里 假设 窃听 者 完全 能 够 截 
获 通信 双方 之 间 的 通信 和 内容。 而 密码 分 析 学 的 主要 目的 是 研究 在 不 知道 密 钥 的 情况 下 如 何 
尽快 恢复 出 明文 。 成 功 的 密码 分 析 能 恢复 出 明文 或 密 钥 。 密 码 分 析 也 可 以 发 现 密码 体制 的 
弱点 。 因 此 ,在 密码 学 中 ,只 有 密码 分 析 家 才能 评判 密码 体制 的 安全 性 ?是 豆 古 不 变 的 真理 。 

对 密码 系统 进行 分 析 的 活动 称 为 攻击 (attack)。 本 节 遵 从 荷兰 人 A. Kerckhoffs 最 早 
在 19 世纪 阐明 的 密码 分 析 的 一 个 基本 假设 : 秘密 必须 基于 密 钥 的 安全 性 。Kerckhoffs 假 
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设 密码 分 析 者 能 够 获得 所 有 的 密码 算法 及 其 实现 的 全 部 详细 资料 。 在 实际 的 密码 分 析 中 ， 
攻击 者 并 不 是 总 有 这 些 详 细 信 息 ,但 决 不 应 该 低估 攻击 者 的 实力 。 

常用 的 密码 分 析 方法 有 四 类 。 

(1) 唯 密 文 攻击 (ciphertext-only attack) 。 密 码 分 析 者 拥有 一 些 消息 的 密 文 ,这些 消 息 
都 是 用 同样 的 加 密 算 法 来 加 密 的 。 密 码 分 析 者 的 任务 是 尽 可 能 多 地 恢复 出 明文 。 当 然 ,最 
好 能 够 得 到 加 密 消息 所 使 用 的 密 钥 ,以 便利 用 该 密 钥 尽 可 能 多 地 去 解读 其 他 的 密 文 。 

(2) 已 知 明文 攻击 (known-plaintext attack)。 密 码 分 析 者 不 仅 拥 有 一 些 消 息 的 密 文 ， 
而 且 还 拥有 其 中 一 些 密 文 对 应 的 明文 。 密 码 分 析 者 的 任务 就 是 根据 这 些 明文 和 密 文 的 对 应 
关系 来 推出 加 密 密 钥 或 者 推导 出 一 个 算法 ,使 得 该 算法 可 以 对 用 同一 密 钥 加 密 的 任何 消息 
进行 解密 。 

(3) 选择 明文 攻击 (chosen-plaintext attack)。 分 析 者 不 仅 拥有 一 些 消息 的 密 文 和 相应 
的 明文 ,而 且 还 可 以 有 选择 地 加 密 明 文 。 密 码 分 析 者 可 以 选择 特定 的 明文 块 ,这 些 明文 块 可 
能 会 产生 更 多 关于 密 钥 的 信息 。 分 析 者 的 任务 就 是 推导 用 于 加 密 的 密 钥 或 者 产生 一 个 算 
法 ,使 得 该 算法 可 以 对 用 同一 密 钥 加 密 得 到 的 任何 密 文 进行 解密 。 

(4) 选择 密 文 攻击 (chosen-ciphertext attack) 。 密 码 分 析 者 能 够 选择 不 同 的 密 文 ,而 且 
能 够 得 到 与 之 对 应 的 明文 。 有 时 我 们 将 选择 明文 攻击 和 选择 密 文 攻击 一 起 称 为 选择 文本 攻 
击 (chosen-text attack ) 。 

上 述 四 种 攻击 的 目的 是 推导 出 加 解密 所 使 用 的 密 钥 。 这 四 种 攻击 类 型 的 强度 依次 递 
增 , 唯 密 文 攻击 是 最 弱 的 一 种 攻击 ,选择 密 文 攻击 是 最 强 的 一 种 攻击 。 如 果 一 个 密码 系统 能 
够 抵抗 选择 密 文 攻击 ,那么 它 当 然 能 够 抵抗 其 余 三 种 攻击 。 

攻击 者 被 动 地 截获 密 文 并 进行 分 析 的 这 类 攻击 称 为 被 动 攻击 。 密 码 系统 还 可 能 遭受 到 
的 另 一 类 攻击 是 主动 攻击 : 攻击 者 主动 向 系统 窗 扰 ,采用 删除 、 更 改 、 增 添 、 重 放 , 伪 造 等 手 
段 向 系统 注入 假 消息 。 防 止 这 种 攻击 的 一 种 有 效 方法 是 使 发 送 的 消息 具有 可 被 认证 
Cauthentication) 的 能 力 , 使 接收 者 或 第 三 者 能 够 识别 和 确认 消息 的 真 伪 。 实 现 这 类 功能 的 
密码 系统 被 称 做 认证 系统 ,第 4 章 将 着 重 论述 。 消 息 的 认证 性 和 消息 的 保密 性 不 同 ,保密 是 
为 了 使 窃听 者 在 不 知道 密 钥 的 条 件 下 不 能 解读 密 文 的 内 容 , 而 认证 是 使 任何 不 知道 密 钥 的 
人 不 能 构造 出 一 个 消息 ,使 意 定 的 接收 者 将 之 解密 成 一 个 可 理解 的 消息 (合法 的 消息 ) 。 

衡量 密码 攻击 的 复杂 度 有 两 个 方面 : 数据 复杂 度 和 处 理 复杂 度 。 数 据 复杂 度 是 指 为 了 
实施 攻击 所 需 输入 的 数据 量 ; 而 处 理 复杂 度 是 指 处 理 这 些 数 据 所 需 的 计算 量 。 例 如 ,在 穷 
尽 密 钥 搜索 攻击 中 ,所 需要 的 数据 量 与 计算 量 相 比 是 微不足道 的 ,因此 ,穷尽 密 钥 搜索 攻击 
的 复杂 度 由 处 理 复 杂 度 决定 。 在 Biham 和 Shamir 的 差分 密码 分 析 中 ,实施 攻击 所 需 的 计 
算 量 相对 于 所 需 的 明 密 文 对 的 数量 来 说 是 比较 小 的 ,因此 ,差分 密码 分 析 的 复杂 度 由 数据 复 
杂 度 决定 。 所 谓 差分 密码 分 析 (differential cryptanalysis) ,是 指 寻 找 明 文具 有 特定 差分 的 
密 文 对 ,分 析 在 加 密 明 文 过 程 中 这 些 差 分 的 进展 。 目 的 是 选择 具有 固定 差别 的 明文 对 。 可 
以 随机 选择 两 个 明文 ,只 要 满足 特定 差分 条 件 ( 可 以 是 简单 异 或 ) 即 可 。 然 后 在 得 到 的 密 文 
中 使 用 差别 ,对 不 同 密 钥 指 定 不 同 相似 性 。 分 析 越 来 越 多 的 密 文 对 之 后 ,就 可 以 得 到 正确 的 
密 钥 。 与 差分 密码 分 析 相 对 应 的 是 Mitsuru Matsui 发 明 的 线性 密码 分 析 (linear cryptanalysis) 。 
线性 密码 分 析 采 用 线性 近似 法 ,如 果 把 一 些 明 文 位 进行 异 或 操作 ,把 一 些 密 文 位 进行 异 或 ， 
然后 把 结果 进行 异 或 , 则 会 得 到 一 个 位 :该 位 是 一 些 密 钥 位 的 异 或 。 
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除了 以 上 各 种 密码 分 析 方法 之 外 ,对 古典 密码 有 更 简单 的 分 析 方 法 。 简 单 的 代 换 密码 ， 
如 移 位 密码 ,破译 起 来 极其 容易 。 仅 仅 统计 出 最 高 频 度 字母 ( 见 表 2-1) ,再 与 明文 字母 表 对 
应 决定 出 位 移 量 ,就 差不多 可 以 得 到 正确 的 破译 结果 了 。 移 位 密码 也 可 以 用 穷 举 密 钥 搜索 
法 轻松 破译 ,因为 密 钥 量 仅仅 为 N。 由 此 可 见 , 密 码 系统 是 安全 的 一 个 必要 条 件 是 密 钥 空 
间 必 须 足 够 大 ,使 得 穷 举 密 钥 搜索 破译 是 计算 不 可 行 的 。 但 这 并 不 是 一 个 密码 系统 安全 的 
充分 条 件 。 
表 2-1 英文 字母 频 度 统计 表 


A 0.082 | 0. 002 S 0.063 
B 0.015 K 0.008 于 0. 091 
C 0. 028 L 0.040 U 0.028 
D 0.043 M 0.024 和 0.010 
E 0.127 N 0.067 Ww 0.023 
至 0. 022 O 0.075 X 0.001 
G 0.020 P 0.019 ¥ 0.020 
H 0.061 Q 0.001 Z 0.001 
上 0.070 R 0.060 


2.2 古典 密码 体制 


本 节 介 绍 几 种 古典 密码 体制 ,在 一 些 密级 不 高 的 场合 ,这 些 密码 体制 仍然 得 到 了 广泛 的 
应 用 。 


2.2.1 凯撒 加 密 法 


凯撒 加 密 法 (Caesar cipher) 的 名 称 来 源 于 古 罗 马 的 凯撒 大 帝 。 当 年 凯撒 大 帝 行军 打 会 
时 用 这 种 方法 来 传递 重要 军事 情报 。 

凯撒 加 密 法 是 一 种 古典 替换 密码 。 为 描述 方便 ,我 们 假设 明文 仅 含有 英文 字母 。 在 使 
用 凯撒 加 密 法 之 前 , 先 将 字母 按 0 一 25 编号 : 


A B C D E P G H I K L M 
0 1 2 3 4 5 6 了 8 9 10 11 12 
O | Q R S 时 TU V Ww X Zz 


13 14 15 16 17 18 19 20 21 22 23 24 25 


假设 明文 字母 表示 为 a, 密 文字 母 表示 为 B, 则 加 解密 方法 如 下 。 

加 密 : B==a 十 n (mod 26) 

解密 : a=B 一 n (mod 26) 
其 中 ,n 表示 密 钥 。 显 然 ,n 的 有 效 取 值 为 0 一 25。 如 果 一 0, 那 么 相当 于 没有 对 明文 进行 加 
密 操作 。 

例如 ,假设 明文 为 this is caesar cipher。 如 果 密 钥 n 取 2 的话, 那么 得 到 密 文 : vjku ku 
ecguct ekrjgt。 即 依次 将 每 个 字母 换 成 它 之 后 的 第 二 个 字母 。 


撤 加 密 法 是 一 件 不 费 吹 灰 之 力 的 事情 。 因 为 密 钥 


凯 


显而易见 ,在 计算 机 的 帮助 下 破解 
的 可 能 取 值 只 有 26 个 ,只 需要 尝试 遍 26 个 密 钥 ,就 轻而易举 得 到 明文 。 


维 吉 尼 亚 加 密 法 
维 吉 尼 亚 加 密 法 (Vigenere cipher) 是 一 种 以 移 位 代 换 为 基础 的 周期 代 换 密码 ,由 1858 年 


法 国 密码 学 家 维 吉 尼 亚 提出 。 


2.2.2 


要 使 用 维 吉 尼 亚 加 密 法 ,首先 要 构造 一 个 维 吉 尼 亚 方 阵 


维 吉 尼 亚 方 阵 是 一 个 26X26 的 矩阵 。 和 矩阵 的 第 一 行 是 按 正 常 顺序 排列 的 字母 


( 见 表 2-2) : 
表 , 第 


行 是 第 一 行 左 移 循 环 1 位 得 到 的 , 依 此 类 推 ,得 到 其 余 各 行 。 然 后 在 基本 方 阵 的 最 


上 方 附加 一 行 ,最 左 侧 附 加 一 列 , 分 别 依 序 写 上 A 到 Z 26 个 字母 , 表 的 第 一 行 与 附加 列 上 


的 字母 A 相对 应 , 表 的 第 


Z 相对 应 。 


“最 后 一 行 与 附加 列 上 的 字母 


行 与 附加 列 上 的 字母 B 相对 应 …… 


如 果 把 上 面 的 附加 行 看 作 明文 序列 , 则 下 面 的 26 行 就 分 别 构成 了 左 移 0 位 、 


,25 位 的 26 个 单 表 代 换 加 同 余 密码 的 密 文 序列 。 加 密 时 ,按照 密 钥 信 息 来 决 


1 位 、2 位 .…… 


定 采用 哪 一 个 单 表 。 


表 2-2 维 吉 尼 亚 和 矩阵 


MNO PAORS T UV WEY 
MNOPQRSTUVVWX YZA 


KLMNOPQRSTUVVWX YZASB 


L 


K 


L 


J 


K 


I 
J 


AABCDEPFGH 
BBCDEPFGH 
2 
D: DEFG HH 
EE FGH 

下 和 得 

GGH 

H 


I 
J 


I 
J 


I 


MNOPQ@RSTUVWX YZZABGT 

MN 
JKLMNOPQRSTUVWYXYZABCDE 
JKLMNOPQRSTUTVWIXIYZABCDE F 
JKLMNOPQRSTUVWXYZABCDEF SG 
JKLMNOPOAORSTUVWYX YY ZABCDE FG HE 


J KL 
K 


I 
J 


OPQRSTUVWXYZAEBC D 


I 


I 


I 


I 


H 


I 


J 


K 


JKLMNOPQRSTUTVWIXYZABGDEEFEF GH 


J 


K 


KE MNO POQORS TUVYWY AY ZAhADBDChEE FG 


I 
J 


GLMNOPQORS TUVWTXE YZZABCDEPFSGH 


I 


MMNO PQORSTUV WX YZABCDEPFGH 


有 
KLMN 


I 
J 


NNOPQRSTUVVWX YZABCDEFGH 
OO0OPQRS 人 TUVWXYZABCDEPFGH 


I 


J KLMN DO 


I 


PPARS TUVWYAXA YZABCDE FGH 


le 


I 


QQRS TUVWX YZABCDEFGH 


JKLMNOP RQ 


I 


| 


jEKLELMNOPQER 


I 


Ss TU YW YZABCDE FGH 


JKLMNOPQRS 


| 


TTUY 人 NAY ABCDEFSGR 


KLMNOPQORS T 


I 


UUVWX YZABCDEFGH 


ELMMNMOFOQORSTU 
KLMNOPQRSTUYV 


I 
J 


VVVWX YY ZABCDE FGH 


WW YY ZABCDEFEGH 


EL MN OO PFOQORS TUYVY™W 


| 


XX YZABCDEFGH 


JKLMNOPQRS TUVVW YX 


I 


YY A BCDEFSGH 


J]JKLMNOPQRS TUVVWYX Y 


I 


ZZ2ZABCDEFGH 


由 于 密 钥 可 能 比 明文 短 , 所 以 要 连续 书写 密 钥 ,以 得 到 与 明文 等 长 的 密 钥 序列 。 例 如 ， 


需要 加 密 的 明文 人 


息 为 VIGENERE CIPHER , 密 钥 采 用 ENCRYPTION。 那 么 加 密 方法 


二 
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如 下 : 

密 钥 ”E N C R 下 P 于 I N E N 起 R 
明文 L G E N E R E © I P H E R 
密 文 2Z V I V 下 K M V U G I 


从 而 得 到 密 文 信息 : ZVIVLTKMQVTUGI。 

从 以 上 叙述 可 以 看 出 , 维 吉 尼 亚 加 密 法 相 比 凯撒 加 密 法 要 复杂 一 些 。 但 是 ,破解 维 吉 尼 
亚 加 密 法 依然 不 是 太 难 的 事 。 因 为 这 种 加 密 法 依然 保留 了 一 些 字母 频率 的 统计 信息 。 此 
外 , 重 码 分 析 法 也 可 以 破译 维 吉 尼 亚 加 密 法 。 这 可 以 参见 相关 论著 。 


2.2.3 栅栏 加 密 法 


同 凯 撒 加 密 法 和 维 吉 尼 亚 加 密 法 相 比 ,栅栏 加 密 法 (rail fence cipher) 属 于 另 一 种 加 密 
方式 : 变换 加 密 。 栅 栏 加 密 法 非常 简单 : 依次 将 明文 按 锯齿 形 写 在 不 同行 然后 重新 排列 就 
得 到 了 密 文 。 例 如 , 待 加 密 的 信息 如 下 : this is an example of rail fence cipher。 将 该 明文 
按照 锯齿 形 方式 重新 书写 : 

tiiaeapefaleccpe 

hssnxmlorifneihr 
然后 重新 排列 得 到 密 文 :tiiaeapefaleccpehssnxmlorifneihr。 

破译 栅栏 加 密 法 没有 复杂 之 处 。 同 栅栏 加 密 法 相似 的 技术 还 有 圆柱 加 密 法 。 所 谓 圆柱 
加 密 法 ,就 是 将 一 根 纸 条 缠绕 在 圆柱 形 物 体 上 ,然后 一 排 一 排 地 书写 明文 ,然后 将 纸 条 取 下 ， 
纸 条 上 的 字母 就 是 看 似 随 机 的 密 文 ,如 图 2-2 所 示 。 


ER 


图 2-2 圆柱 加 密 法 


古典 变换 加 密 法 还 有 很 多 ,诸如 分 栏 式 加 密 法 .多 轮 分 栏 式 加 密 法 等 。 此 类 密码 算法 的 
保密 性 建立 在 对 算法 本 身 的 保密 基础 之 上 。 一 旦 攻击 者 获得 了 加 密 方法 ,他 就 能 够 解读 密 
文 。 如 果 用 计算 机 程序 实现 这 些 古 典 变换 加 密 法 ,那么 密码 分 析 员 只 需要 简单 的 反 汇编 加 
密 程序 就 能 了 解 加 密 过 程 ,从 而 破解 此 类 密码 算法 。 所 以 ,这 类 加 密 算法 在 今天 已 经 基本 废 
弃 不 用 。 


2.2.4 ENIGMA 加 密 机 


1918 年 ,德国 发 明 家 亚 瑟 。 谢 尔 比 乌 斯 (Arthur Scherbius) 和 他 的 朋友 理 查 德 . 里 特 
(Richard Ritter) 创 办 了 谢 尔 比 乌 斯 和 里 特 公司 。 谢 尔 比 乌 斯 负责 研究 和 开发 方面 ,他 曾 在 
汉诺威 和 慕尼黑 研究 过 电气 应 用 ,他 的 一 个 想法 就 是 要 用 20 世纪 的 电气 技术 来 取代 那 种 过 
时 的 铅笔 和 纸 的 加 密 方法 。 

谢 尔 比 乌 斯 发 明 的 加 密 电 子 机 械 名 叫 ENIGMA( 见 图 2-3) ,在 当时 , 它 被 认为 是 有 史 以 
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来 最 为 可 靠 的 加 密 系 统 之 一 。 德 军 对 ENIGMA 加 密 机 的 过 分 信赖 ,也 是 德国 战败 的 重要 
因素 之 一 。 

ENIGMA 加 密 机 看 起 来 是 一 个 装 满 了 复杂 而 精致 元 件 的 黑匣子 。 要 是 我 们 把 它 打开 ， 
就 可 以 看 到 它 可 以 被 分 解 成 相当 简单 的 几 部 分 : 键盘 .转子 和 显示 器 。 图 2-4 和 图 2-5 是 其 
最 基本 部 分 的 示意 图 。 


图 2-4 ENIGMA 密码 机 的 转子 及 转子 的 分 解 


键盘 转子 显示 器 


a—B 
b 一 A 
cD 
d—F 
eB 
f=C 


图 2-5 ”ENIGMA 密码 机 的 结构 示意 


ENIGMA 加 密 机 不 是 一 种 简单 替换 密码 。 同 一 个 字母 在 明文 的 不 同位 置 时 可 以 被 不 
同 的 字母 替换 ,而 密 文 中 不 同位 置 的 同一 个 字母 ,可 以 代表 明文 中 的 不 同 字 母 。 因 此 频率 分 
析 法 在 这 里 就 失效 了 。 

为 了 避免 出 现 循环 的 状态 , 谢 尔 比 乌 斯 在 机 器 上 另外 增加 了 一 个 转子 。 当 第 一 个 转子 
转动 整整 一 圈 以 后 , 它 可 以 拨 动 第 二 个 转子 ,使 得 它 转动 一 个 字母 的 位 置 。 这 样 , 要 26 X26 二 
676 个 字母 后 才 会 重复 原来 的 编码 。 而 事实 上 ENIGMA 里 有 三 个 转子 (二 战 后 期 德国 海军 
用 ENIGMA 甚至 有 四 个 转子 ) ,不 重复 的 方向 个 数 达到 26X26X26 二 17 576 个 。 在 此 基础 
上 , 谢 尔 比 乌 斯 十 分 巧妙 地 在 三 个 转子 的 一 端 加 上 了 一 个 反射 器 ,而 把 键盘 和 显示 器 中 的 相 
同 字母 用 电线 连 在 一 起 。 反 射 器 和 转子 一 样 , 把 某 个 字母 连 在 另 一 字母 上 ,但 是 它 并 不 转 
动 。 它 有 什么 用 呢 ? 原来 ,反射 器 虽然 没有 像 转子 那样 增加 可 能 的 不 重复 的 方向 ,但 是 它 可 
以 使 译 码 的 过 程 和 编码 的 过 程 完全 一 样 。 

在 接 下 来 的 10 年 中 ,德国 军队 大 约 装备 了 3 万 台 ENIGMA。 谢 尔 比 乌 斯 的 发 明 使 德 
国 具 有 当时 最 可 靠 的 加 密 系 统 。 在 二 战 初期 ,德军 通信 的 保密 性 在 世界 上 无 与 伦比 。 但 后 
来 在 英国 密码 学 家 的 努力 下 ,ENIGMA 被 破译 ,同盟 国 获取 了 德军 的 军事 机 密 , 加 速 了 德军 
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的 灭亡 。 


2.3 ”对称 密码 体制 


在 介绍 现代 密码 体制 之 前 ,要 首先 了 解 现代 密码 的 一 些 基本 概念 。 根 据 不 同 的 分 类 标 
准 , 可 以 将 密码 体制 分 为 很 多 种 。 按 照 加 解密 使 用 的 密 钥 是 否 相 同 , 可 以 将 密码 体制 分 为 对 
称 密码 体制 (symmetric cryptography) 和 非 对 称 密码 体制 (asymmetric cryptography)。 如 
果 加 密 密 钥 和 解密 密 钥 相同 , 则 称 为 对 称 密码 体制 ; 否则 称 为 非 对 称 密码 体制 。 按 照 每 次 
加 密 的 数据 量 大 小 ,可 以 将 密码 体制 分 为 流 加 密 法 (stream ciphers) 和 块 加 密 法 (block 
ciphers) 。 流 加 密 法 是 一 次 加 密 明文 中 的 一 个 位 。 而 块 加 密 法 是 先 将 明文 分 成 很 多 块 , 一 
次 加 密 一 块 。 本 章 所 介绍 的 所 有 密码 体制 ,都 是 属于 块 加 密 法 。 关 于 流 加 密 法 ,可 以 参考 相 
关 的 专著 。 

现代 密码 学 的 开山 鼻祖 克 劳 德 。 香农 (Shannon) 于 1945 年 撰写 了 一 篇 秘密 报告 (保密 
系统 的 通信 理论 》)(Communication Theory of Secrecy Systems)。 在 这 篇 报告 中 ,香农 首次 
引入 了 混淆 (Confusion) 和 扩散 (Diffusion) 的 概念 。 混 淆 是 为 了 保证 密 文中 不 会 反映 出 明 
文 线索 ,防止 密码 分 析 者 从 密 文 中 找到 规律 或 模式 从 而 推导 出 相应 的 明文 ; 扩散 是 为 了 增 
加 明文 的 宛 余 度 。 所 有 现代 密码 体制 的 设计 都 是 在 这 两 个 概念 的 指导 下 进行 的 。 


2.3.1 数据 加 密 标准 


数据 加 密 标准 (Data Encryption Standard,DES) 是 近 30 年 来 应 用 得 最 广泛 的 加 密 算法 
之 一 。 虽然 近年 来 由 于 硬件 技术 的 飞速 发 展 ,破解 DES 已 经 不 是 一 件 难事 ,但 学 者 们 似乎 
不 甘心 让 这 样 一 个 优秀 的 算法 从 此 废弃 不 用 ,于 是 在 DES 的 基础 上 开发 了 双重 DES 
(Double DES,DDES) 和 三 重 DES(Triple DES, TDES)。 


DES 的 产生 可 以 追溯 到 1972 年 ,其 前 身 是 IBM 明文 
公司 的 Lucifer 算法 。 后 来 美国 联邦 采用 了 这 个 算 
法 并 将 其 更 名 为 数据 加 密 标准 。 不 久之 后 ,其 他 组 
织 和 研究 机 构 也 认可 了 该 算法 ,从 此 ,DES 得 到 了 大 
规模 的 应 用 。 . 
DES 是 一 个 块 加 密 算法 ,每 块 长 64 比特 。DES Ee i yy 
的 密 钥 长 度 也 是 64 比特 ,但 由 于 其 中 的 第 8、16、24、 1 1 
32、40、48、56、64 位 用 做 奇偶 校 验 位 ,所 以 实际 的 密 LsRo RIDARo, K) 
钥 长 度 只 有 56 比特 。DES 利用 了 香农 提出 混淆 和 1 
扩散 的 概念 。DES 迭代 轮 数 共有 16 轮 , 每 一 轮 都 进 从 间 运 过 
行 混淆 和 扩散 。 二 一 
Rie=Lis@BARis, Kie) Lie=Ris 
DES 主要 有 三 个 步骤 ( 见 图 2-6)。 
G) 利用 初始 置换 函数 IP 对 64 比特 明文 块 按 a 
照 表 2-3 进行 初始 置换 。 将 初始 置换 的 输出 分 为 两 一 一 
半 , 分 别 表示 为 左 半 部 分 L。 和 右 半 部 分 R。。 密 文 


(2) 进行 16 次 迭代 ,迭代 规则 如 下 : Li 二 Ri， 图 2-6 ”DES 加 密 算法 步骤 示意 
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R; 二 Li_1 外 f(Ri_1,K;)。 其 中 上 L;,R; 分 别 表示 第 i 轮 的 左 半 部 和 右 半 部 。f(， ) 是 运算 函 
数 ,K; 是 长 为 48 位 的 子 密 钥 。 子 密 钥 Ki,K:,…, Ki 是 根据 56 比特 的 密 钥 K 计算 而 
来 的 。 

(3) 对 比特 串 RisLie 使 用 逆 置 换 IP 一 得 到 密 文 Y。 

下 面 详细 论述 DES 的 加 密 过 程 。 

1. 初始 置换 

置换 规则 如 下 : 按照 初始 置换 表 ( 见 表 2-3) ,用 64 位 明文 块 的 第 58 位 代替 第 1 位 ,用 
第 50 位 代替 第 2 位 , 依 此 类 推 。 置 换 完成 以 后 ,将 64 位 置换 结果 分 为 左 32 位 和 右 32 位 两 
部 分 。 


表 2-3 初始 置换 表 
58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 
62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 
57 49 41 33 25 17 9 1 59 51 43 35 27 19 1 
61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 


A wm 


2. 进行 16 轮 的 迭代 运算 

每 一 轮 的 迭代 运算 都 包含 以 下 五 步 : 密 钥 变 换 ,扩展 置换 \S 盒 奉 换 、P 盒 蔡 换 以 及 异 或 
和 交换 。 

第 一 步 : 密 钥 变换 

输入 算法 的 56 比特 密 钥 首先 经 过 一 个 置换 运算 ,置换 规则 由 置换 表 ( 见 表 2-4(a)) 给 
出 ,然后 将 置换 后 的 56 比特 分 为 各 为 28 比特 的 左 、 右 两 半 , 分 别 记 为 C。 和 D。。 在 第 i 轮 
分 别 对 Ci-!1 和 Di- 进行 左 循环 移 位 , 移 位 数 规则 由 左 循环 移 位 位 数 表 ( 见 表 2-4(b)) 给 出 。 
移 位 后 的 结果 作为 求 下 一 轮子 密 钥 的 输入 ,同时 也 作为 压缩 变换 的 输入 。 规 则 由 压缩 变换 
表 ( 见 表 2-4(c)) 给 出 ,产生 的 48 比特 的 天,, 即 为 本 轮 的 子 密 钥 ,作为 函数 f(R;_1,K;) 的 
输入 。 


表 2-4(a) 置换 表 
57 49 41 33 25 17 9 1 
58 50 42 34 26 18 10 2 
59 51 43 35 27 19 11 3 
60 52 44 36 63 全 47 39 
31 23 15 7 62 54 46 38 
30 22 14 6 61 部 45 37 
29 21 13 5 28 20 12 4 


表 2-4(b) 左 循 环 移 位 位 数 表 
轮 数 1 3 4 5 6 7 8 9 WU 2 13 1 15 1 
位 数 EE | 


表 2-4(c) ”压缩 变换 表 


14 Ll 11 24 5 3 28 15 6 21 10 

23 19 12 4 26 8 16 Lj 27 20 13 2 

41 52 31 37 47 55 30 40 51 45 33 48 

44 49 39 56 34 53 46 42 50 36 29 32 
第 二 步 : 扩展 置换 


由 于 子 密 钥 为 48 位 ,但 是 初始 置换 的 输出 为 各 32 位 的 左右 两 部 分 。 所 以 需要 将 32 位 
的 右 明文 ( 半 部 分 ) 按 照 扩展 置换 表 ( 见 表 2-5) 扩 展 为 48 位 。48 位 的 子 密 钥 和 48 位 的 右 明 
文 进行 异 或 运算 ,将 结果 送 入 下 一 步 , 即 S 盒 替换 。 
表 2-5 扩展 置换 表 


32 1 2 3 4 5 4 5 6 7 8 9 

8 9 10 11 12 13 12 13 14 15 16 17 

16 17 18 19 20 21 20 21 22 23 24 25 

24 25 26 27 28 29 28 29 30 31 32 1 
第 三 步 : S 盒 替 换 


S 盒 蔡 换 是 DES 的 核心 内 容 。 共 有 8 个 S 盒 ,每 个 S 盒 具有 6 位 输入 和 4 位 输出 。 将 
第 二 步 的 48 位 运算 结果 分 成 8 个 子 块 ,每 块 6 位 。S 盒 替换 将 6 位 输入 变 成 4 位 输出 。 那 
么 ,S 盒 是 如 何 将 6 位 输入 变 成 4 位 输出 的 呢 ? 假设 S 盒 的 6 位 输入 分 别 为 证 200p5pe , 取 
b1bs (0 一 3)? 作 为 行 数 ,6.535465; (0 一 15) 作 为 列 数 , 取 行列 的 交叉 处 的 数字 为 S 盒 的 输出 如 
表 2-6 一 表 2-13。 例 如 在 S, 盒 中 ( 表 2-6) , 若 输入 为 101001, 那 么 输出 应 该 是 第 三 行 第 四 列 
的 数字 8, 用 二 进 制 表示 为 1000。 


表 2-6 3S, 盒 
3 1 2 “5 证 8 3 10 让 ” 6 看 9 0 % 
0 15 7 # WW ss -i 10 6 12 11 9 5 3 8 
4 1 14 i | 15 12 9 7 3 10 5 0 
15 12 8 2 4 9 和 -这 -1 3 14 10 0 6 13 
表 2-7 S: 盒 
15 1 8 14 6 11 3 4 9 7 2 WW .0 5 10 
3 -| 、 洁 8 14 12 0 EE 10 6 9 11 5 
又 有 阳 10 4 13 1 5 8 12 6 9 3 2 15 
13 8 10 1 $15 4 六 人 7 12 0 5 14 9 


@ 两 比特 数 bibs 能 表示 四 个 二 进 制 数 , 即 00,01,10,11 
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第 四 步 : P 盒 蔡 换 
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表 2-8 S: 盒 
5 3 13 12 
10 2 8 5 
11 2 
4 15 14 

表 2-9 S, 盒 
10 1 2 8 
3 4 7 2 
13 15 1 3 
8 9 4 5 

表 2-10 Ss 盒 
6 8 3 


8 15 全 12 


表 2-11 


5 6 1 13 


10 11 14 | 
表 2-12 5, 盒 
13 3 ‘I 
10 14 3 5 
14 10 15 6 
7 9 5 0 
表 2-13 Ss 盒 


2 0 6 10 


对 8 个 S 盒 的 32 位 输出 按照 表 2-14 进行 P 盒 替换 。 


表 2-14 了 P 盒 替换 
2 一 和 15 ‘23 
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第 五 步 : 异 或 和 交换 

上 述 操 作 都 是 对 右 明 文 的 处 理 。 那 么 左 明文 如 何 处 理 呢 ? 将 左 明 文 L。 同 第 四 步 运算 
的 结果 进行 异 或 形成 新 的 右 半 部 分 Ri ,将 R。 作为 下 一 轮 的 左 半 部 分 Li。 

如 此 反复 ,进行 16 轮 的 迭代 。 


3. 逆 置 换 IP- 
在 16 轮 迭 代 完 成 以 后 ,再 按照 表 2-15 进行 一 次 逆 置 换 以 得 到 最 终 的 密 文 。 
表 2-15 逆 置 换 
40 8 48 1 56 24 64 32 39 7 47 15 55 23 63 31 
38 6 4 14 54 22 62 30 37 5 4 13 53 21 61 29 
36 4 4 12 52 20 60 28 35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 33 1 4 9 49 17 57 25 


以 上 是 DES 的 加 密 过 程 ,解密 过 程 和 加 密 过 程 使 用 同一 算法 。 唯 一 不 同 的 是 子 密 钥 的 
使 用 顺序 不 同 。 在 加 密 过 程 中 子 密 钥 的 使 用 顺序 是 Ki ,Ks,…, Kw ,而 在 解密 过 程 中 子 密 
钥 的 使 用 顺序 是 Kiyo, Kis ,…, Ki。 


2.3.2 国际 数据 加 密 算法 


DES 自 诞生 以 来 就 得 到 了 广泛 的 应 用 。 但 是 ,人 们 对 DES 的 怀疑 也 从 来 没有 停止 过 。 
最 初 ,人 们 最 担心 的 是 : S 盒 有 后 门 吗 ? 设计 DES 算法 的 人 有 没有 可 能 在 不 知道 密 钥 的 情 
况 下 破解 他 人 用 DES 加 密 的 数据 呢 ? 现在 看 来 ,这 是 不 可 能 做 到 的 。 不 过 国际 上 很 多 其 他 
研究 机 构 都 在 致力 于 设计 能 够 替代 DES 的 加 密 算法 ,而 且 从 来 没有 停止 过 。 国 际 数据 加 密 
算法 (International Data Encryption Algorithm,IDEA) 正 是 这 种 努力 的 结果 。 

IDEA 最 初 于 1990 年 由 瑞士 联邦 技术 学 院 提出 , 它 也 是 最 强大 的 加 密 算法 之 一 。 不 过 
IDEA 并 不 如 DES 使 用 得 那么 广泛 。 其 中 最 主要 的 原因 是 IDEA 受 专利 保护 。 任 何 要 使 
用 IDEA 算法 的 机 构 都 必须 在 获得 价格 不 菲 的 许可 证 之 后 才能 在 商业 中 应 用 。 而 DES 是 
完全 免费 的 。 

同 DES 一 样 ,IDEA 也 是 属于 块 加 密 算法 ,并 且 也 是 处 理 64 位 的 明文 块 。 但 是 IDEA 
的 密 钥 长 度 是 128 位 。IDEA 也 使 用 了 混淆 和 扩散 原则 进行 加 密 。 下 面 论述 了 IDEA 的 加 
密 过 程 。 

(1) 将 64 位 明文 块 分 成 4 个 部 分 ,每 个 部 分 16 位 ,分 别 表示 为 Pi ,P: ,Ps: ,P,。 

(2) IDEA 加 密 共 有 8 轮 ,每 一 轮 中 ,由 最 初 的 128 位 密 钥 生成 8 个 子 密 钥 , 密 钥 长 度 为 
16 位 。 生 成 方法 是 : 首先 将 初始 密 钥 kK 从 左 到 右 一 次 划分 为 8 个 16 位 的 子 密 钥 Ku ， 
Kw， Kis， Ku， Kis， Kis， Ka ， Ka。 然 后 将 天 循环 左 移 25 位 形成 新 的 密 钥 K' ,按照 上 面 
的 方法 再 生成 8 个 16 位 的 子 密 钥 Ks， Ks， Ks， Kzs，Ks，K;s, Kss， Ka。 一 直 重 复 , 直 
到 生成 52 个 16 位 的 子 密 钥 。 其 中 .最 后 4 个子 密 钥 用 于 最 后 的 输出 变换 。 

(3) 对 6 个 子 密 钥 和 4 个 数据 块 P, , P: ,P,P 进行 操作 。 这 些 操作 包括 模 乘 、 模 加 
( 模 数 为 25) 和 异 或 ( 见 图 2-7) ,其 中 ,Ka ,K;, ,…,K; 表示 第 i 轮 中 使 用 的 6 个 子 密 钥 。 每 
一 轮 的 输出 Yi ,Y: ,Ys ,Z, 将 作为 下 一 轮 的 输入 Xi ,Xa: ,X: ,X4。 

(4) 8 轮 迭 代 完 成 以 后 ,进行 输出 变换 ,输出 变换 的 方法 如 图 2-8 所 示 。 
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2-7 IDEA 的 一 轮 运算 
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2-8 IDEA 的 输出 变换 


以 上 是 IDEA 的 加 密 算法 过 程 , 那 么 ,IDEA 的 解密 算法 过 程 又 如 何 呢 ? 

IDEA 的 解密 过 程 和 加 密 过 程 实质 上 是 完全 相同 的 。 也 是 将 输入 的 64 位 密 文 分 成 
4 块 ,每 块 16 位 。 经 过 8 轮 运算 ,得 到 密 文 。 所 不 同 的 是 : 解密 密 钥 是 加 密 密 钥 的 逆 。 加密 
密 钥 和 解密 密 钥 的 关系 是 : 
zi)=(Kado — Kans — Koao-nzss Kad-m), 2<i<8 

(2) (zx sa ) = (Kado ,一 开 ao-pz ,一 天 ao-ps, 开 四 -54)， i=1,2,°,9 

(3) (zi ,Zi Ro pssKo-ne), lSi<8 
其 中 ,x 表示 第 i 轮 中 的 第 一 个 密 钥 , 其 余 依次 类 推 ，Kai_si 是 Kao-oi 的 乘法 逆 , 满 足 
Kas-n XKuo-n 二 1 mod (2* 十 1); 一 Kao-pz 是 Kao-nz 的 加 法 道 ,满足 (一 Koo-os) 十 


Kuo-nz=0 mod 2™ 。 
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2.3.3 高 级 加 密 标 准 

随 着 现代 计算 机 计算 能 力 的 飞速 发 展 ,人 们 感觉 到 : 密 钥 长 度 是 56 位 的 DES 在 强大 
的 计算 能 力 攻势 下 已 经 不 够 安全 。 因 此 ,寻求 DES 的 替代 算法 是 迫在眉睫 的 大 事 。 正 在 这 
时 ,美国 政府 也 希望 标准 化 加 密 算 法 ,于 是 广泛 征求 高 级 加 密 标准 (Advanced Encryption 
Standard,AES) 方 案 。AES 决定 采用 128 位 长 度 的 密 钥 和 128 位 的 分 组 长 度 。1998 年 ， 
Rijndael 算法 被 提交 到 了 NIST( 美 国 国家 标准 技术 研究 所 ) ,作为 AES 的 候选 算法 。 在 十 
多 个 提交 的 算法 当中 (CAST256、CRYPTON、E2、DEAL、FROG、SAFER 十 、RC6、MAGENTA 、 
LOKI97 .SERPENT、MARS, Rijndael .DFC、Twofish、HPC) ,经 过 多 次 讨论 和 筛选 ,2000 年 
10 月 ,NIST 宣布 AES 的 最 终 选 择 是 Rijndael 算法 。 该 算法 是 由 比利时 的 Joan Daemen 和 
Vincent Rijnmen 提出 的 ,Rijndael 算法 的 名 称 由 此 而 来 。 

为 了 满足 AES 的 要 求 ,Rijndael 的 分 组 长 度 为 128 位 ,但 是 密 钥 长 度 和 轮 数 是 可 变 的 。 
密 钥 长 度 可 以 是 128 位 ,也 可 以 是 192 位 和 256 位 ; 轮 数 可 以 是 10 轮 、12 轮 或 14 轮 。 

Rijndael 算法 将 数据 块 分 成 一 个 一 个 地 甜 阵 ( 称 为 状态 和 矩阵)。 每 个 矩阵 大 小 是 一 个 字 
节 , 每 次 加 密 处 理 一 个 矩阵 。Rijndeal 的 轮 函数 分 4 层 , 在 第 一 层 使 用 S 盒 技术 进行 字 节 替 
代 ; 第 二 层 和 第 三 层 是 线性 混合 层 , 第 二 层 进行 行 移 位 ,第 三 层 进行 列 混合 ; 在 第 四 层 进行 
轮 密 钥 加 法 ,对 子 密 钥 字 节 与 矩阵 中 的 每 个 字 节 进行 逐 比 特异 或 操作 。 下 面 详 细 论 述 AES 
算法 的 过 程 。 为 了 便于 理解 ,我们 省 略 了 繁复 的 数学 描述 和 证 明 。 

对 于 AES 算 法 ,输入 分 组 ,输出 分 组 ,状态 长 度 均 为 128 比特 。N 一 4, 该 值 反应 了 状 
态 中 32 比特 字 的 个 数 ( 列 数 ) 。 

对 于 AES 算 法 , 密 钥 K 的 长 度 是 128、192 或 256 比特 。 密 钥 长 度 表 示 为 Ny 二 4、6 或 
8, 反 应 了 密 钥 中 32 比特 字 的 个 数 ( 列 数 ) 。 

对 于 AES 算法 ,算法 的 轮 数 依赖 于 密 钥 长 度 。 将 轮 数 表示 为 N,, 当 Ni 二 4 时 ,N, 一 
10; 当 Ni 二 6 时 ,N, 二 12; 当 Ny 二 8 时 ,NN, 二 14。 

符合 该 标准 的 密 钥 长 度 -分 组 长 度 - 轮 数 的 组 合 如 表 2-16 所 示 。 

表 2-16 ” 密 钥 长 度 -分 组 长 度 - 轮 数 组 合 分 布 


密 钥 长 度 (N' words) ”分 组 长 度 (N, words) 轮 数 C(N,) 
AES-128 4 4 10 
AES-192 6 4 12 
AES-256 8 4 14 


加 密 开始 时 ,将 输入 复制 到 状态 矩阵 中 。 经 过 初始 轮子 密 钥 加 后 ,执行 N, 次 (N,=10、 
12 或 14, 具 体 依赖 于 密 钥 长 度 ) 轮 函数 来 变换 状态 矩阵 ,最 后 一 轮 与 前 N, 一 1 轮 略 有 不 同 。 


轮 函数 通过 密 钥 扩展 算法 进行 参数 化 , 密 钥 
编排 由 密 钥 扩展 程序 得 到 的 一 维 4B 字数 组 组 成 。 [Sn[Su[sa sm | pe 


第 一 步 : 字 节 变换 Sol EE 
字 节 变换 是 一 个 非 线性 的 字 节 替代 , 它 独立 | 本 STR 
地 将 状态 中 的 每 个 字 节 利用 S 愈 进行 苦 代 。 如 |s|s ls: 


S33 S30SS,S 3.2ls 
图 2-9 和 表 2-17 所 示 。 例 如 ,如 果 Ss 一 (25), 那 图 2.9 字 节 代 换 示意 


么 在 S 蔡 代 盒 中 寻找 第 二 行 第 五 列 得 到 3f, 所 以 替换 后 S!, 二 (3f)。 
表 2-17 AES 的 S 蔡 代 盒 十 六 进 制 形式 


7 


0 63|7c|77|7b|f2|6b| 6f |c5|30|01|67|2b|lfe|ld7?|ab 76 
1 ca|82|c9|7d|lfal|lss9|47|.f0|.ad|ld|la2| af | 9c|a4 | 72 co 
2 b7 | fd|93|26|36|3f|f7 cc | 34 | a5 | e5 {1 71 | d8 | 31 15 
3 04 |c7|23|c3|18|96 |05 | 9a|o07|12|80|e2|eb|27 | b2 75 
4 09|83|2c|lallb|6e|5a|a0|52|3b|d |b3|29 | e3 | 2f 84 
5 53 | dl|o00|ed|20|fc|bl|s5b|6a|cb|be|39|4a| 4c|58 | cf 
6 d0 | ef laalfbl|l43|4d|33|85|45|f9|02|7f|50 | 3c | 9f a8 
y 51 | a3 | 40 | 8f | 92 | 9d | 38 |f5|bc|be|dal21|10 ff f3 d2 
人 8 cd |o0c|13|ec| 5f|97|4|17|c4|a7|l7e|3d|64|5d|19 73 
9 60|181|4f|dc|22|2a|90|88 |46 | ee |b8|14|de|5e|ob| db 
a e0|32|3a|0a|49|06 |24|5c|c2|d3|ac|62| 91|95 |e4 79 
b|e7|c8|37|6d|8d|d5|4e|a9|6c|56|f4|ea|l65 |7a | ae | 08 
让 ba |78 |25|2e|lc|a6|b4|c|e8|dd|l74|1f|4b|bd|8b| 8a 
d 70 | 3e |b5|66 |48|03|f6|0e|61|35|57|b9|86 |cl 1d 9e 
e el f8 | 98 | 11|69|d9|8e|94|9b | 1le|87|e9 | ce |155 | 28 df 
t 8c |al |89|0d| bf |e |42|68|41|99|2d| of|bo|54|bb| 16 


第 二 步 : 行 移 位 变换 
在 行 移 位 CShiftRows()) 变 换 中 ,状态 的 最 后 3 行 循环 移 位 不 同 的 位 移 量 r。 位 移 量 x 
取决 于 行 号 。 图 2-10 描述 了 行 移 位 变换 。 


ShiftRows() 


1 1 mn 机 
Sr0 | Sr1 | Sr2 | Sr3 


Sr0 | Sr1 | Sr2 | Sr3 


siolsulsialsa| CE 9 
sosllsazlss| CE > 
53,0 | 53,1|532|53,3 CD 加 图 $3,1|532 


2-10 行 移 位 变换 示意 


第 三 步 : 列 混合 变换 
列 混合 (MixColumns()) 变 换 在 状态 上 按照 每 一 列 进行 运算 ,并 将 每 一 列 看 作 4 次 多 项 
式 , 即 将 状态 的 列 看 作 GF(2*) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 a(z) 模 x 十 1 乘 ,a(x) 为 
a(z) = {03}z’ 二 {01}z? 十 {01}z 十 {02} 
写成 矩阵 乘法 形式 , 令 s (x) 二 a(z)s(zx) 


soe 02 03 01 O011[s0; 
Si 01 02 03 ollls.. 
5 01 -01 ‘02 03 | 二 
Se 03 OF OF ‘0245. 

经 过 该 乘法 计算 后 ,一 列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 
$0.c= ({02} ss0.) 四 ({03} 3s) Bs. 四 sa 
Se So,c 四 ({02}。 hha) (3) ({03}。 $2,c) (3) S3,c 
sc= so D sc DB (02} .so) 田 ((03) so) 
sc= ({03} so BD sc BD s2.c DB (02} » 53..) 

图 2-11 描述 了 列 混合 变换 。 


MixColumns() 


图 2-11 列 混合 变换 在 状态 的 列 上 运算 


第 四 步 : 轮 密 钥 加 变换 

在 轮 密 钥 加 (AddRoundKey()) 变 换 中 ,用 简单 的 比特 异 或 将 一 个 轮 密 钥 作 用 在 状态 上 。 
每 一 个 轮 密 钥 由 通过 密 钥 编 排 得 到 的 N 个 字 组 成 。 将 这 N 个 字 异 或 到 状态 的 列 上 , 即 

[so 9 she ss2,e se] = [so s S19 S233] D [wrounaxr,te], OSc<N, 

其 中 的 [wj 是 密 钥 编 排 得 到 的 字 ,round 是 如 下 范围 内 的 值 : 0 三 round 壹 N,。 在 加 密 算法 
中 , 当 round==0, 在 应 用 第 一 个 轮 函数 之 前 进行 初始 轮 密 钥 加 。 当 1 三 round 志 NN, 时 , 轮 密 
钥 加 变换 应 用 到 加 密 算 法 的 N, 轮 上 。 

该 运算 如 图 2-12 所 示 ,其 中 /一 roundX N,。 


图 2-12 轮 密 钥 加 变换 将 密 钥 编排 得 到 的 字 异 或 到 状态 的 每 一 列 上 


将 上 述 过 程 逆转 ,然后 以 逆序 执行 即 可 直接 得 到 解密 算法 。 

第 一 步 : 逆行 移 位 变换 

道行 移 位 (InvShiftRows()) 变 换 是 行 移 位 变换 的 道 变换 。 状 态 最 后 三 行 中 的 字 节 循环 
移 位 不 同 的 位 移 量 。 该 位 移 量 也 取决 于 行 号 。 


图 2-13 描述 了 逆行 移 位 变换 。 


InvShiftfRows() 


1 
Sr0 | srl 


Sr0 | Sr1 | Sr2 | Sr3 Sr2 | srs 


30.0| 50.1|S02 |S03 so 30.1| 502|503 
sio|silsi2lsia| 它 [ hh 加 区 SL1|S12 
$20|52.1|522|523 FE $22 
s30|s311s32|533| FOE 图 图 $33|530 


图 2-13 InvShiftRows() 在 状态 的 后 三 行 上 循环 移 位 
第 二 步 : 逆 字 节 替 代 变 换 


逆 字 节 替 代 (InvSubBytes()) 变 换 是 字 节 替代 (SubBytes()) 变 换 的 逆 变 换 , 在 状态 的 每 
个 字 节 上 应 用 S 盒 的 道 。 逆 字 节 替代 变换 中 使 用 的 S 盒 的 逆 如 表 2-18 所 示 。 


表 2-18 S 盒 的 逆 


党 


0 52 | 09|6a|d5|30|36|a5|38 | bf |40|a3 | 9e | 81 f3 | d7 fb 
1 7c |e3|39|82|9b|2f| ff|87|34|8e|43|.|4|c4|de|le|cb 
2 |54|7b|94|32|a6|c2|23|3d|ee|d4dc|95|0b|42|fa|c3 | 4e 
3 08 | 2e | al |66|28|d9|24|b2|7|5b|a2|49|6d|8b|dl 25 
4 72 | f8 f6 | 64 | 86 |68|98|16|d4|a4|l5c|c |5d|65 | b6 92 
5 6c|70|48|50|fd|ed|b9|dal|l5e|15|46|57|a7|8d|9d| 84 
6 |190|d8|ab|o0 |8 |bc|d3|0a|lf{f7|e4|58|05 |b8 |b3|45| 06 
7 |do|2c|1le| 8f |cal|l 3f | of|02|cl|af|lbd|o03|01|13|8a | 6b 
“sl|sals9lilal4dlirldleals| elcdlcelilu|le|73 
9 |96|ac|74|22|e7|ad|l35|85|e2|{f9|37|e8 |1c|75 | df | 6e 
a|47|flil|lal|l7l|1ld|29|c5|89 | 6f |b7?|62| 0 |aal|ll8|be| 1b 
b fc |56|3e|4b|c6 |d2|79|20|9a|ldb|lc |fe|78|cd|5al {4 
3 lf |dd|la8|33|88|07|c7|31|bl|12|10|59|27|80|ec 5f 
d|60|51|7{|a9|19| bs | 4a|lod|2d| es |7a| 9f |93|¢c9 |9c| ef 
e|a0|le|3b|4d|ae|2a| 生 |bo|c8|eb|bb|3c|83|53|99 | 61 
3 17 | 2b | 04 7e | ba|77|4d6|26 | el 69 | 14 | 63 | 55 | 21 0c 7d 


第 三 步 : 逆 列 混合 变换 
道 列 混合 (InvMixColumns()) 变 换 是 列 混合 变换 的 道 变换 。 逆 列 混 合 变换 在 状态 上 对 
每 一 列 进 行 运算 ,将 每 一 列 看 作 4 次 多 项 式 。 将 状态 的 列 看 作 有 限 域 GF(2*) 上 的 多 项 式 且 
被 一 个 固定 的 多 项 式 ec :(Cz) 模 zx 十 1 乘 ,a 1:(z) 为 
a (xz) = {0b}z’ + {0d}z’ + {09}z++ {0e} 
这 可 以 写成 矩阵 乘法 。 令 s(x)==a (zx)@s(z): 


38 


Be 0e 0b 0d 091[so. 
全 09 Oe 00 0d | si 
，|= ， 0<c<N, 
Sew 0d 09 0e 0b ||s,,. 
Sh 00 0d 09 Oed|s,,. 


经 过 该 乘法 计算 后 ,一 列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 
she= ({0e} so) DB ({(00) » 51,) BD {0d} sa DB {09} » 53.) 
si = ({09} » $0..) D ({0e} » $1.) DB (06} » $2,.) BD {0d} «53..) 
$2 = ({0d} so DB ({09} so) DB ({0e} » 52,.) BD {060} » 53,.) 
se= ({06} » s0,c) BD ({0d} sc) DB (09} » 52,.) DB ({0e} sse) 
第 四 步 : 逆 轮 密 钥 加 变换 
轮 密 钥 加 (InvMixColumns()) 变 换 的 逆 变 换 就 是 它 本 身 。 
AES 具有 很 多 优良 的 特性 , 它 非常 灵活 ,能够 抵御 密码 分 析 攻 击 ; 能 够 适合 现代 处 理 
器 并 且 对 存储 空间 要 求 不 高 ,这 使 得 它 也 非常 适合 智能 卡 。AES 的 数学 原理 是 非常 复杂 
的 ,要 透彻 地 了 解 AES 需要 抽象 代数 的 知识 ,这 需要 继续 深入 学 习 。 


2.3.4 其 他 密码 算法 


除了 上 述 密码 算法 之 外 ,还 有 很 多 优秀 的 密码 算法 ,诸如 RC5、Blowfish 等 。 基 于 DES 
算法 ,人 们 还 提出 了 很 多 DES 的 变形 ,诸如 双重 DES(DDES) 三重 DES(TDES) 等 。 

RC5 是 Ron Rivest 开发 的 对 称 密 钥 分 组 密码 算法 。 它 的 主要 优点 就 是 运算 很 快 ,只 使 
用 基本 的 加 、 蜡 或 移 位 操作 等 。 同 AES 一 样 ,RC5 算法 轮 数 和 密 钥 长 度 是 可 变 的 。 同 时 ， 
RC5 占用 的 内 存 空 间 很 小 ,适合 在 智能 卡 等 小 内 存 设备 中 使 用 。 

Blowfish 是 由 密码 学 家 Bruce Schneier 开发 的 。 同 RC5 一 样 , 它 也 具有 快速 和 占用 内 
存 小 的 特点 。 同 时 ,Blowfish 密 钥 长 度 也 是 可 变 的 ,最 大 长 度 可 达 448 位 。 

DDES 和 TDES 是 DES 的 变形 算法 。 简 单 地 说 ,DDES 就 是 将 DES 的 工作 重复 做 两 
遍 。DDES 采用 两 个 密 钥 Ki ,K;(Ki,K 不 相同 )。 加 密 时 , 先 使 用 K。 进行 加 密 , 然 后 再 用 Ki 
加 密 一 次 ; 解密 时 , 先 使 用 Ki 解密 ,然后 再 使 用 K。 解密 就 得 到 最 初 的 明文 ,如 图 2-14 所 示 。 

密 钥 后 密 钥 及 


+ 
| | 最终 
-| DES 加 密 窗 文 


[en | | oes | eX! 


图 2-14 DDES 算 法 示意 


同 DDES 类 似 ,TDES 就 是 将 DES 的 工作 重复 做 三 次 ,如 图 2-15 所 示 。 


密 钥 Kl 密 钥 用 
my 1 


初始 明文 =| DES 加 密 DES 加 密 


密 文 2 


最 终 密 文 DES 加 密 * 


密 钥 kK 


2-15 TDES 算 法 示意 


由 于 篇 幅 限制 ,关于 RC5、Blowfish、DDES、TDES 的 详细 论述 请 参考 相关 专著 。 


2.4 非 对 称 密码 体制 


跟 对 称 密码 体制 相对 应 的 是 非 对 称 密码 体制 ,也 称 为 公 钥 密码 体制 。20 世纪 70 年 代 ， 
Diffie 和 Hellman 发 表 了 一 篇 关于 非 对 称 密 钥 加 密 的 论文 ,开创 了 非 对 称 密 钥 加 密 的 时 代 ， 
这 是 密码 学 历史 上 的 一 次 革命 。 但 是 ,也 有 人 提出 , 早 在 60 年 代 , 英 国 通信 电子 安全 小 组 
(Communications-Electronics Security Group ,CESG) 就 提出 了 非 对 称 密 钥 加 密 的 思想 。 但 
由 于 CESG 是 个 秘密 机 构 , 所 以 他 们 的 成 果 并 不 为 人 所 知 。1978 年 , 麻 省 理工 学 院 的 Ron 
Rivest\Adi Shamir、Len Adleman 联合 发 表 了 他 们 的 成 果 一 一 第 一 个 非 对 称 密码 体制 , 称 
为 RSA 算法 。 这 个 算法 也 是 当今 使 用 最 广泛 的 非 对 称 加 密 算法 。 

在 对 称 密码 体制 中 ,通信 双方 要 首先 协商 用 于 加 解密 的 密 钥 ,然后 才能 进行 秘密 通信 。 
协商 的 办 法 是 多 种 多 样 的 : 可 以 是 面对面 的 协商 ,也 可 以 是 通过 机 要 信函 进行 协商 。 而 在 
非 对 称 密码 体制 中 是 不 需要 进行 密 钥 协 商 的 。 非 对 称 密码 体制 采用 两 个 密 钥 ,构成 一 对 。 
这 种 密码 体制 的 精妙 之 处 在 于 : 只 要 一 个 通信 实体 A 产生 一 对 密 钥 ,其 中 一 个 密 钥 公 开发 
布 ( 称 为 公 钥 ) ,另外 一 个 由 自己 秘密 保存 ( 称 为 私 钥 )。 然 后 所 有 和 希望 同 A 通信 的 其 他 通信 
实体 都 可 以 用 A 的 公 钥 加 密 通 信 数 据 , 密 文 只 能 由 A 来 解密 。 相 比 传统 的 方法 ,由 于 获得 
公 钥 的 代价 远 远 小 于 通信 双方 协商 密 钥 的 代价 ,所 以 非 对 称 密码 体制 得 到 了 非常 广泛 的 
应 用 。 

既然 非 对 称 密码 体制 具有 这 么 多 的 优良 性 质 , 那 么 是 不 是 对 称 密码 体制 就 没有 存在 的 
必要 了 呢 ? 答案 是 否定 的 。 虽 然 非 对称 密 码 体制 不 需要 进行 密 钥 协商 ,但 是 从 后 面 的 内 容 
可 以 看 到 : 非 对 称 密码 体制 的 加 密 速 度 是 相当 慢 的 ,仅仅 是 对 称 密码 体制 的 加 密 速 度 的 
1% 。 非 对 称 密码 体制 主要 用 于 密 钥 交换 、 数 字 签 名 以 及 加 密 少 量 数据 等 。 非 对 称 密 码 体 制 
并 不 能 取代 对 称 密 码 体制 ,对 称 密码 体制 也 不 能 取代 非 对 称 密码 体制 。 它 们 各 有 优 缺 点 ,分 
别 在 不 同 的 场合 发 挥 着 巨大 作用 。 


2.4.1 RSA 算法 


在 介绍 RSA 算法 之 前 ,首先 需要 了 解 RSA 算法 的 基础 一 一 因子 分 解 问题 。 整 数 
p(p 记 1) 是 素数 ,如 果 p 的 因子 只 有 士 1, 士 p。 任 一 整数 a (a 二 1) 都 能 唯一 地 分 解 为 以 下 形 
式 : a 二 ph pg …pr ,其 中 轴 过 加 二 … 人 > 轧 是 素数 ,ai 二 0,i 一 1,2.…,t。 但 是 , 当 a 很 大 时 ， 
对 a 的 分 解 是 相当 困难 的 。RSA 算法 的 安全 性 正 是 建立 在 大 数 分 解 为 素 因 子 的 困难 性 的 
基础 上 。 

RSA 算法 的 原理 如 下 。 

(1) 通信 实体 Bob 首先 选择 两 个 大 的 素数 p,q。 

(2) 计算 n=pg, $8(n) 二 (p 一 1)(g 一 1) ,$8(n) 是 nn 的 欧 拉 函数 值 。 

(3) 选择 e, 使 得 e 远 小 于 $$(n) ,并且 gcd(e,$(n)) 二 1, 即 e 和 $8(n) 的 最 大 公约 数 为 1。 

(4) 求 d ,使 得 ed 圭 1 mod $$(n)。 

(5) 发 布 (n,e), 即 公 钥 为 (x,e); 自己 秘密 保存 私 钥 d 并 销毁 p 和 g。 

假设 Alice 要 使 用 RSA 算法 加 密 消息 并 通过 网 络 发 送 给 Bob, 那 么 Alice 应 当 按 照 以 


| 
息 安 全 概论 


下 步骤 进行 。 
(1) Alice 从 权威 机 构 获 得 Bob 的 公 钥 Ca:e) 。 
(2) 将 明文 比特 串 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 nn, 即 分 组 长 度 小 于 log:m。 
(3) 对 每 个 明文 分 组 m, 作 加 密 运 算 : c 圭 m* mod zc 即 为 密 文 。 
(4) 通过 网 络 将 密 文 c 发 送 给 Bob。 
当 Bob 收 到 密 文 c 以 后 只 需 一 步 计算 就 可 以 进行 解密 : m 二 cxmod n。 解 密 过 程 的 正确 
性 可 以 利用 欧 拉 定 理 得 到 证 明 : 


cd mod n= (2 mod n) = (74 modn=m" modn 


ApCD+1 kp 


=m mod n= (m mod n) (m mod n) 
=lXm=m 

在 RSA 算法 中 ,最 重要 的 是 Alice 对 p 和 g 的 选择 。 若 选择 不 恰当 ,将 会 极 大 地 降低 
RSA 算法 的 安全 性 。 一 般 来 说 ,p 和 g 在 数值 上 不 能 太 接 近 , 并 且 p 一 1 和 4 一 1 都 有 大 的 
素 因 子 。gcd(p 一 1,g 一 1) 应 该 很 小 。 通 常 选择 p 使 得 p 和 (pp 一 1)/2 都 是 素数 。 除 此 之 
外 ,使 用 RSA 算法 的 用 户 应 该 遵守 一 条 规则 : 用 户 之 间 不 能 共享 n。 如 果 多 个 用 户 使 用 同 
一 个 ,那么 就 有 可 能 对 n 进行 因数 分 解 ,进而 有 可 能 计算 出 用 户 的 私 钥 。 

当今 ,计算 机 的 计算 能 力 日 益 强大 ,计算 机 能 够 分 解 的 数 也 逐渐 增 大 。 通 常 认 为 512 位 
长 度 的 密 钥 已 经 不 够 安全 ,专家 推荐 采用 1024 位 。 相 比 之 下 , 密 钥 长 度 为 128 位 的 AES 在 
当今 是 相对 安全 的 。 另 一 方面 ,RSA 算法 采用 的 模 寡 运算 比 AES 的 操作 要 慢 得 多 。 由 此 
可 见 ,对 称 密码 算法 的 加 密 速 度 是 非 对 称 密码 算法 的 速度 的 100 倍 以 上 也 就 不 足 为 奇 了 。 

RSA 算法 的 描述 看 似 简单 ,但 如 果 要 深入 理解 RSA 的 实质 ,需要 高 深 的 数论 的 知识 。 
有 兴趣 的 读者 可 以 参考 相关 的 专著 和 文献 。 


2.4.2 Elgamal 算法 


Elgamal 算法 是 在 1984 年 由 T. Elgamal 提出 的 。Elgamal 算法 的 安全 性 是 建立 在 有 
限 域 0 上 的 离散 对 数 很 难 计 算 这 一 数学 难题 的 基础 上 。 

数论 中 的 离散 对 数 指 的 是 : 设 p 为 素数 ,g 是 =， 的 原 根 2,p 不 能 整除 整数 >, 则 存在 整 
数 ,0k 二 p 一 1, 使 得 y 三 g* mod 户 。 其 中 人 称 为 y 对 模 数 p 的 离散 对 数 。(y,g,p) 作 为 
公开 密 钥 ,& 作为 秘密 密 钥 。 

在 基本 和 弄 清 离散 对 数 概念 之 后 ,本 节 将 介绍 如 何 利用 离散 对 数 来 构造 非 对 称 密码 体制 。 

假设 Alice 希望 用 Elgamal 算法 加 密 消息 ,那么 ,Alice 首先 选取 一 个 很 大 的 素数 p 和 pp 
的 一 个 原 根 g。 然 后 ,Alice 选择 一 个 秘密 密 钥 a,0 二 a 二 p 一 1, a 与 p 一 1 互 素 。 计算 5 二 
g” mod p, 公 钥 k 二 (g,0,p) ,如果 Bob 希望 向 Alice 发 送 消息 m, 那 么 加 密 方法 如 下 。 

(1) Bob 首先 从 权威 机 构 或 Alice 处 获得 其 公 钥 。 

(2) Bob 随机 选 一 与 p 一 1 互 素 的 整数 上 ,1<: 上 < 一 1。 

(3) Bob 计算 二 g' mod p 和 ys 圭 mb' mod p, 然 后 向 Alice 发 送 密 文 (yi ,yz ) 。 

Alice 收 到 密 文 之 后 ,计算 w (y1)“ mod p 就 可 以 得 到 正确 的 解密 结果 。 其 中 ,yi! 的 


@ 参见 抽象 代数 。 
回 参见 数论 讲义 。 


定义 是 yy7' 三 1 mod p。 解 密 过 程 的 正确 性 证 明 如 下 : 
yy ) “mod p= (mb’' mod p)(g’ mod p)“* mod pS 二 mb'(g’)“* modp 
三 mb'(g*) mod pS 三 mb modp 三 m 

需要 注意 的 是 ,为 了 确保 Elgamal 算法 的 安全 性 ,通常 p 至 少 应 该 是 150 位 以 上 的 十 进 
制 数 字 , 大 约 为 512 位 的 二 进 制 数 。 而 且 ,p 一 1 至 少 有 一 个 大 的 素 因 子 。 在 满足 上 述 条 件 
的 情况 下 ,根据 p、g b 来 计算 离散 对 数 是 相当 困难 的 。 

Elgamal 公 钥 密码 体制 可 以 在 计算 离散 对 数 困 难 的 任何 群 ? 中 实现 。 但 是 通常 使 用 的 
是 有 限 域 ,但 不 局 限于 有 限 域 ,比如 ,还 可 以 在 圆锥 曲线 群 或 椭圆 曲线 群 上 实现 。 特 别 地 ,人 
们 还 发 现 , 椭 圆 曲 线 在 密码 学 中 大 有 用 武之 地 ,例如 下 面 将 要 介绍 的 基于 椭圆 曲线 的 非 对 称 


2.4.3 椭圆 曲线 密码 算法 


椭圆 曲线 应 用 到 密码 学 上 最 早 是 由 Neal Koblitz 和 Victor Miller 在 1985 年 分 别 独立 
提出 的 。 椭 圆 曲 线 密码 算法 来 源 于 人 们 对 椭圆 曲线 的 研究 。 所 谓 椭圆 曲线 , 它 并 不 是 一 条 
真正 的 椭圆 曲线 ,而 是 指 由 韦 尔 斯 特 拉 斯 (Weierstrass) 方 程 y 十 arzy 十 asy 二 十 qsx? 十 
az 十 as 所 确定 的 平面 曲线 。 其 中 系数 a; ,i 二 1,2,…,6 可 以 是 定义 在 有 理 数 域 .复数 域 .有 
限 域 上 。 椭 圆 曲 线 密码 算法 中 a; 都 是 定义 在 有 限 域 上 的 。 

为 了 方便 描述 椭圆 曲线 密码 算法 ,需要 首先 了 解 在 椭圆 曲 线 上 的 特定 运算 。 

(1) 定义 无 穷 远 点 O 点 为 0 点 ,P 十 0=O0 十 P=P。 

(2) 对 于 任意 椭圆 曲线 ,例如 由 y= 二 xz’ 一 z 描述 的 椭圆 曲线 如 图 2-16 所 示 , 任 取 曲 线 


于 xz 轴 的 对 称 点 是 RR。 我 们 定义 P 二 Q=R.,R’== 一 R.R' 十 R==0。 
(3) 对 于 任意 整数 a.5b 和 椭圆 曲线 上 任意 点 ,下 面 两 式 成 立 : (a 十 6)P=aP 十 bP， 
a(bP)= (ab)P, 


05 
-x 


图 2-16 椭圆 曲线 示意 


@ 群 的 定义 及 性 质 参见 抽象 代数 。 
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当然 ,在 密码 学 中 用 到 的 椭圆 曲线 并 不 是 如 图 2-16 所 示 的 连续 曲线 ,而 只 是 定义 在 有 
限 域 上 的 孤立 点 对 。 

有 限 域 Fx 上 的 一 条 椭圆 曲线 Y 一 它 十 z 十 1(mod 23) 的 点 如 下 ,其 图 形 如 图 2-17 所 示 。 

(0,0) (1,5) (1,18) (9,5) (9,18) (11,10) (11,13) (13,5) (13,18) (15,3) (15,20) 


(16,8) (16,15) (17,10) (17,13) (18,10) (18,13) (19,1) (19,22) (20,4) (20,19) (21,6) 
(21,17) 


22 * 


| 


HH 时 
四 加 图 | 


HH 

[| 
Ns: 
于 

HH 


一 口上 woo 
| | 


12345678910111213141516171819202122 x 
图 2-17 有 限 域 上 的 椭圆 曲线 


椭圆 曲线 能 够 在 密码 学 中 得 到 应 用 ,是 基于 这 样 一 个 难题 : 已 知 m 和 PP 的 情况 下 , 求 
解 mP 二 =P 十 P 十 … 十 P= 二 Q 很 简单 ,但 相反 地 , 若 已 知 P 和 Q, 求 解 m 是 相当 困难 的 。 这 个 
问题 称 为 椭圆 曲线 上 点 群 的 离散 对 数 问 题 。 

下 面 简单 介绍 基于 椭圆 曲线 的 非 对 称 密码 算法 。 

设 巨 是 定义 在 有 限 域 F。 上 的 一 条 椭圆 曲线 ,在 已 CF,) 上 选取 一 个 点 尸 , 称 为 基点 , 记 
P 的 阶 为 n ,通常 要 求 n 是 一 个 大 素数 。 每 个 用 户 选 取 一 个 整数 e(1 二 e 二 n) 作 为 其 私 钥 , 而 
以 点 D=eP 作为 其 公 钥 ,这 样 就 形成 了 一 个 椭圆 曲线 公 钥 密码 体制 。 假 设 EE 由 方程 一 
如 十 az 十 5 (4a’ 十 27B? 隆 0) 决 定 , 基 域 F,、 基 点 P 及 其 阶 n, 以 及 每 个 用 户 的 公 钥 都 作为 该 
系统 的 公开 参数 。 每 个 用 户 的 私 钥 都 是 保密 的 。 

假设 用 户 Alice 欲 将 明文 m(0 二 m 二 gq) 加 密 后 发 给 Bob，Alice 首先 要 得 到 Bob 的 公 钥 
Psa， 然后 进行 如 下 的 加 密 运 算 : 

(1) 取 随 机 数 kEZ, 计 算 kP= (xi,y1); 

(2) 计算 kPa 二 (zz,y2); 

(3) 计算 密 文 c= 二 mz; ,将 (c ,zi ,yi) 发 给 Bob。 

用 户 Bob 收 到 Alice 发 来 的 信息 后 ,进行 下 述 的 运算 : 

(1) 计算 es (zi,y1) 二 (zs,yz), 其 中 es 为 Bob 的 私 钥 ; 

(2) 计算 m= 二 c 旬 xz; ,得 到 明文 m。 


由 
第 2 章 密码 学 概 


解密 结果 的 正确 性 证 明 如 下 : eg(zi ,yi) 一 ea&P 一 APa 一 (zzyyz) 

目前 很 多 国家 和 地 区 都 在 从 事 椭 圆 曲 线 密 码 的 研究 。 很 多 厂商 也 已 经 或 正在 开发 基于 
椭圆 曲线 的 产品 。 椭 圆 曲 线 密码 算法 与 RSA 的 相 比 ,其 优点 是 速度 较 快 和 密 钥 较 短 。 密 钥 
长 度 为 160 位 的 椭圆 曲线 密码 算法 的 安全 强度 和 密 钥 长 度 为 1024 位 的 RSA 算法 的 安全 强 
度 相当 ; 其 缺点 是 椭圆 曲线 密码 算法 的 数学 理论 非常 深奥 和 复杂 ,在 工程 应 用 中 比较 难于 
实现 。 而 RSA 算法 的 优点 是 数学 原理 简单 ,在 工程 应 用 中 比较 易于 实现 。 但 在 密 钥 长 度 相 
同 的 情况 下 ,RSA 的 安全 性 相对 较 低 。 

基于 有 限 域 的 密码 算法 都 可 以 在 椭圆 曲线 上 实现 。 比 如 2.4.2 节 所 论述 的 Elgamal 算 
法 ,就 可 以 在 椭圆 曲线 上 得 到 很 好 的 实施 。 


2.4.4 其 他 非 对 称 密 钥 算法 


除了 本 书 介绍 的 RSA、Elgamal 和 椭圆 曲线 密码 算法 之 外 ,还 有 很 多 优秀 的 其 他 非 对 称 
密码 算法 ,诸如 Rabin 公 钥 密码 系统 、 背 包公 钥 密 码 系 统 、 概 率 公 钥 密 码 系统 等 。 

现 有 的 非 对 称 密码 系统 ,大 部 分 都 是 基于 数论 知识 ,比如 RSA 算法 、 椭 圆 曲 线 算法 . 背 
包公 钥 密 码 算 法 以 及 在 下 一 节 介 绍 的 Diffie-Hellman 密 钥 交换 算法 等 。 那 么 有 没有 不 基于 
数论 知识 的 非 对 称 密码 算法 呢 ? 答案 是 肯定 的 。 还 有 一 些 密码 算法 是 建立 在 图 论 .混沌 以 
及 其 他 学 科 如 生物 学 之 上 。 只 要 同学 们 在 学 习 中 不 断 地 发 现 和 探索 ,就 会 发 现 很 多 知识 可 
以 用 来 构建 密码 学 的 大 厦 。 


2.5 ” 密 钥 管理 


密码 算法 .明文 空间 、 密 文 空 间 以 及 密 钥 ,一 同 构成 了 密码 系统 。 密 钥 是 密码 系统 中 非 
常 重要 的 元 素 。 无 论 密码 算法 有 多 安全 ,只 要 发 生 密 钥 泄漏 ,任何 加 密 就 变 得 毫 无 意义 。 更 
神 糕 的 是 : 攻击 者 可 以 利用 泄漏 的 密 钥 冒充 通信 的 其 中 一 方 来 加 密 任何 文件 或 者 进行 数字 
签名 0?, 而 对 方 却 浑然 不 知 。 因 此 ,对 于 电子 商务 、 电 子 政务 等 应 用 ,如 果 密 钥 泄 漏 ,将 会 发 
生 无 可 估量 的 损失 。 密 钥 管 理 是 一 件 意义 重大 的 事 ! 

密 钥 管理 包含 了 密 钥 自 产 生 到 最 终 销毁 的 整个 过 程 中 的 各 种 安全 问题 ,例如 密 钥 的 产 
生 、 存 储 、 装 入 分配、 保护、 遗忘 丢失 和 销毁 等 ,包含 了 密 钥 生成 、 密 钥 存 储 、 秘 密 共享 、 密 钥 
托管 密 钥 传输 与 分 发 、 密 钥 更 新 、 密 钥 备 份 和 密 钥 销毁 等 技术 。 

本 节 将 简单 讨论 密 钥 的 生成 、 密 钥 控 制 以 及 密 钥 托管 的 问题 。 其 他 方面 的 密 钥 管 理 比 
如 密 钥 更 新 、 密 钥 备 份 以 及 密 钥 销 毁 等 请 参见 本 书 第 7 章 。 


2.5.1 密 钥 生 成 


密 钥 生成 协议 是 为 两 方 或 多 方 提供 共享 的 密 钥 以 便 在 以 后 的 安全 通信 中 进行 加 密 解 
密 、 消 息 认 证 或 身份 认证 。 

密 钥 建立 大 体 分 成 两 类 : 密 钥 传送 (Key Transport) 和 密 钥 协商 (Key Agreement) 。 密 
钥 传 送 是 由 一 方 建立 密 钥 ,然后 安全 地 传送 给 其 他 方 。 密 钥 协 商 是 由 双方 或 多 方 共同 参与 


@ 数字 签名 的 概念 见 3.2 节 。 
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到 密 钥 形成 过 程 当中 ,任何 一 方 都 不 能 事先 预测 或 决定 密 钥 的 生成 结果 。 

1. 密 钥 传送 

密 钥 传送 的 模式 大 致 有 两 种 : 点 对 点 模式 和 通过 密 钥 服 务 器 的 模式 。 

1) 点 对 点 模式 需要 共享 密 钥 的 双方 直接 通信 ,传递 密 钥 。 这 种 传递 可 以 是 面对面 的 ， 
即 采用 人 工分 发 的 形式 ,也 可 以 通过 数字 信封 ,用 一 个 双方 预先 共享 的 密 钥 来 加 密 新 密 钥 ， 
然后 通过 Internet 传送 。 

2) 密 钥 服务 器 模式 需要 密 钥 服务 器 (Key Server，KS) 的 参与 。 分 为 两 种 情况 : 其 一 ， 
密 钥 服务 器 生成 密 钥 ,然后 通过 安全 信道 分 别传 送 给 通信 的 各 方 ; 其 二 , 密 钥 服务 器 只 负责 
密 钥 的 传递 ,不 负责 密 钥 的 生成 , 密 钥 的 生成 由 通信 各 方 中 的 一 方 生成 。 

2. 密 钥 协商 

现在 用 得 最 广泛 的 密 钥 协商 协议 是 DH 密 钥 交换 协议 。1976 年 ,Diffie 和 Hellman 联 
合 设计 了 一 个 密 钥 交换 协议 ,我 们 称 之 为 DH 密 钥 交 换 协 议 。 通 过 这 个 协议 ,通信 双方 能 够 
在 不 安全 的 通信 信道 上 公开 传递 信息 ,继而 各 自 计算 出 共享 密 钥 。 

DH 密 钥 交换 算法 的 安全 性 是 基于 有 限 域 中 离散 对 数 计算 的 困难 性 。 下 面 将 阐述 这 个 
算法 的 详细 步骤 。 

(1) Alice 和 Bob 共同 选取 一 个 很 大 的 素数 p 和 zp 的 一 个 原 根 g 作为 公开 参数 。 

(2) Alice 选取 一 个 秘密 随机 数 X。 并 计算 Y, 三 g*mod p, 将 计算 结果 传送 给 Bob。 

(3) Bob 选取 一 个 秘密 的 随机 数 Xs 并 计算 7 三 g*mod p ,将 计算 结果 传送 给 Alice。 

(4) Alice 收 到 Bob 传送 的 计算 结果 后 计算 K 三 YF mod p。 

(5) Bob 收 到 Alice 传送 的 计算 结果 后 计算 K 二 YXr mod p。 

这 是 因为 : K 二 YX.mod p= 二 (g*%*)*%mod p=(g™)™% mod p=YX mod p 

DH 密 钥 交换 协议 的 安全 性 等 同 于 Elgamal 密码 算法 的 安全 性 。 但 是 它 的 最 大 缺点 是 
不 能 抵御 中 间 人 攻击 (Middle-man Attack) 。 中 间 人 攻击 是 如 何 实施 的 呢 ? 请 看 下 面 的 过 程 。 

(1) 假定 Tom 是 个 攻击 者 ,为 了 实施 中 间 人 攻击 ,他 首先 获取 Alice 和 Bob 的 公开 参数 
轧 ,8。 

(2) 当 Alice 向 Bob 传送 计算 结果 时 ,Tom 将 这 个 数值 截获 并 保存 下 来 ,同时 ,他 选择 
一 个 秘密 参数 X, 并 计算 Y,=gx'mod p, 然 后 将 这 个 值 传递 给 Bob。 而 Bob 以 为 这 个 值 是 
Alice 传递 过 来 的 。 

(3) 当 Bob 向 Alice 传送 计算 结果 时 ,Tom 仍然 将 这 个 数值 截获 并 保存 下 来 ,同时 ,他 
选择 另 一 个 秘密 参数 Xe 并 计算 Ye=gxemod p ,然后 将 这 个 值 传递 给 Alice。 同 样 ,Alice 以 
为 这 个 值 是 Bob 传递 过 来 的 。 

(4) Alice、Bob、Tom 同时 计算 密 钥 。 分 别 计算 的 结果 如 下 。 

Alice: K,=Y*% mod p 

Bob: Ku.=Y* mod p 

Tom: Kt,.=YF:mod p,K,.=Y**mod p 

Alice 会 以 为 K,. 是 她 和 Bob 的 共享 密 钥 ,同样 ,Bob 会 以 为 Ku 是 他 和 Alice 的 共享 密 钥 。 
然而 不 幸 的 是 : Tom 同时 知道 这 两 个 密 钥 ,可 以 用 之 来 解密 Alice 和 Bob 的 所 有 通信 内 容 。 

为 了 避免 中 间 人 攻击 ,必须 对 DH 进行 改进 ,比如 使 用 身份 认证 机 制 。 


2.5.2 秘密 分 割 


在 很 多 场合 ,为 了 避免 权力 过 于 集中 ,必须 将 秘密 分 割 开 来 让 多 人 掌管 。 只 有 达到 一 定 
数量 的 人 同时 合作 ,才能 恢复 这 个 秘密 。 这 就 是 密码 学 中 的 门限 方案 。 

门限 方案 : 秘密 ; 被 分 割 成 个 部 分 信息 ,每 一 部 分 信息 称 为 一 个 子 密 钥 ,每 个 子 密 钥 
都 由 不 同 的 参与 者 掌握 ,使 得 只 有 上 个 或 & 个 以 上 的 参与 者 共同 努力 才能 重 构 信 息 ;; 否则 
无 法 重 构 消息 s。 这 种 方案 就 称 为 (k,n) 门 限 方案 ,k 称 为 方案 的 门限 值 。 

Shamir 门限 方案 是 典型 的 秘密 分 割 门限 方案 , 它 是 基于 拉 格 朗 日 插值 公式 的 。 下 面 详 
细 论 述 该 方案 的 原理 。 

设 {(z,y)，(zzyy),…, (zyy)} 是 平面 上 的 & 个 点 构成 的 点 集 。 其 中 zx; ,i 二 1， 
2,…, 均 不 相同 。 那 么 在 平面 上 存在 一 个 唯一 的 & 一 1 次 多 项 式 f(z) 通 过 这 上 个 点 。 若 
把 密 钥 ; 取 作 (0) ,上 个子 密 钥 取 作 了 (zi;) ,i 二 1,2,…,k, 设 nn 个 参与 者 共同 协商 了 一 个 
大 素数 p , 则 密 钥 分 发 者 构造 有 限 域 >, 中 的 一 个 一 1 次 多 项 式 : 

f(x) =aodcazrt+ 二 Taz 
并 令 
a ==s, a:€Exzp, i=1,2,…,k—l1 
密 钥 分 发 者 分 别 计算 该 多 项 式 在 n 个 不 同 点 处 的 z; 对 应 的 y; 值 。 并 将 点 对 (zi ,yi) 分 发 给 
7 个 参与 者 。 多 项 式 f(x) 保密,z; 可 以 公开 ,也 可 以 保密 。(zi,y) 就 是 分 割 出 的 子 密 钥 。 

如 果 有 个 参与 者 会 合 , 要 计算 密 钥 ,不 妨 假设 他 们 的 子 密 钥 是 (zy) ,一 1,2,…， 

k。 将 (zi,yi) 代入 秘密 多 项 式 f(x) 得 到 个 方程 : 


了 e000 
yi 一 ao 十 aizl 十 azzl QAk-12Z1 


yz 一 ao 十 aizs 十 az 太 十 … 十 aiZz! 
痰 一 ao 十 az 十 azze 十 … 十 ai-iz 和 

这 是 一 个 含有 个 未 知 数 (ao ,ai ,as,… ,at-1) 上 个 方程 的 方程 组 , 当 x ,zs ,… ,zi 互 不 相 
同时 ,可 以 得 出 方程 组 的 唯一 解 。 当 然 , 不 必 求 出 所 有 的 w 值 , 只 需要 求 出 co, 即 ;就 可 
少 济 二 


由 初等 代数 知识 可 得 
1 zx zx? zt! 
1 zz Xs 元 人 
1 zx zx? zi! 
人 2 A—l 
Xi TI ZX 证 
yz za 好 2 


i 
Ve Te Tk Th 


当然 ,采用 拉 格 朗 日 插值 法 ,也 可 以 恢复 出 密 钥 wo ,其 算法 参见 相关 著作 。 
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2.5.3 密 钥 控制 


密 钥 更 换 的 频率 对 系统 的 安全 性 也 有 很 大 影响 。 频 繁 地 更 换 密 钥 大 大 降低 了 攻击 者 成 
功 的 概率 ,这 样 即便 一 个 攻击 者 获得 了 某 个 密 钥 ,他 也 只 能 解读 很 小 量 的 密 文 。 如 果 我 们 每 
次 加 密 都 是 用 不 同 的 密 钥 (一 次 一 密 0) ,那么 攻击 者 获得 的 密 钥 更 是 没有 使 用 价值 。 但 是 ， 
如 果 密 钥 更 新 太 频繁 ,又 将 加 大 用 户 间 信息 交换 的 延迟 ,也 会 造成 网 络 负担 。 因 此 ,我 们 要 
综合 考虑 这 些 因素 来 决定 密 钥 更 新 的 频率 。 两 次 密 钥 更 新 之 间 的 时 间 间 隔 就 称 为 密 钥 生存 
周期 。 

密 钥 按照 其 用 途 分 ,可 以 分 为 两 类 : 数据 加 密 密 钥 (Data Encryption Key,DEK) 和 密 钥 
加 密 密 钥 (Key Encryption Key, KEK) 。 数 据 加 密 密 钥 直接 用 于 加 密 数 据 , 因 此 有 些 书 上 
也 将 数据 加 密 密 钥 称 为 会 话 密 钥 或 流量 加 密 密 钥 (Traffic Encryption Key，TEK)。 密 钥 加 
密 密 钥 用 于 加 密 DEK。 为 了 便于 管理 ,一 般 来 说 ,DEK 的 生命 周期 较 短 ,而 KEK 的 生命 周 
期 较 长 。 由 此 可 见 , 一 旦 KEK 泄漏 将 导致 DEK 泄漏 ,那么 整个 会 话 就 毫 无 安全 性 可 言 。 

密 钥 通常 由 密 钥 服务 器 来 控制 , 密 钥 服务 器 负责 密 钥 的 生成 和 安全 分 发 等 工作 。 但 如 
果 网 络 中 用 户 数目 非常 多 而 且 分 布 的 地 域 非常 复杂 ,那么 一 个 密 钥 服务 器 就 无 法 承担 为 所 
有 用 户 分 配 密 钥 的 重任 。 其 中 的 一 个 解决 办 法 是 使 用 多 个 密 钥 服务 器 的 分 层 结 构 。 在 每 个 
小 范围 都 建立 一 个 本 地 密 钥 服 务 器 。 同 一 范围 的 用 户 在 进行 保密 通信 时 ,由 本 地 密 钥 服 务 
器 为 他 们 分 配 密 钥 。 如 果 两 个 不 同 范 围 的 用 户 想 获得 共享 密 钥 , 则 可 通过 各 自 的 本 地 密 钥 
服务 器 ,而 两 个 本 地 密 钥 服 务 器 又 通过 一 个 全 局 密 钥 服务 器 来 得 到 共享 密 钥 。 这 样 就 建立 
了 两 层 密 钥 服务 器 结构 。 类 似 地 ,根据 网 络 中 用 户 的 数目 及 分 布 的 地 域 , 可 建立 三 层 或 多 层 
分 层 结构 。 


2.5.4 密 钥 托 管 


密 钥 托管 也 称 为 托管 加 密 , 其 目的 是 保证 对 个 人 没有 绝对 的 隐私 和 绝对 不 可 跟踪 的 匿 
名 性 , 即 在 强加 密 中 结合 对 突 发 事件 的 解密 能 力 。 其 实现 手段 是 把 已 加 密 的 数据 和 数据 恢 
复 密 钥 联系 起 来 ,数据 恢复 密 钥 不 必 是 直接 解密 的 密 钥 ,但 由 它 可 得 解密 密 钥 。 数 据 恢复 密 
钥 由 所 信任 的 委托 人 持 有 ,委托 人 可 以 是 政府 机 构 ,法院 或 有 契约 的 私人 组 织 。 一 个 密 钥 可 
能 是 在 数 个 这 样 的 委托 人 中 分 拆 。 调 查 机 构 或 情报 机 构 通过 适当 的 程序 ,如 获得 法 院 证 书 ， 
然后 再 从 委托 人 处 获得 数据 恢复 密 钥 。 

密 钥 托 管 加 密 技术 提供 了 一 个 备用 的 解密 途径 ,政府 机 构 在 需要 时 ,可 通过 密 钥 托管 技 
术 解 密 用 户 的 信息 ,而 用 户 的 密 钥 车 丢失 或 损坏 ,也 可 通过 密 钥 托管 技术 恢复 自己 的 密 钥 。 
所 以 这 个 备用 的 手段 不 仅 对 政府 有 用 .而 且 对 用 户 自己 也 有 用 。 

密 钥 托 管 技 术 提 出 后 ,到 目前 为 止 , 已 经 有 很 多 种 密 钥 托 管 体制 ,有 软件 实现 的 ,有 硬件 
实现 的 。 密 钥 托 管 密码 体制 从 人 逻辑 上 可 以 分 为 三 个 主要 部 分 : 用 户 安全 成 分 、 密 钥 托 管 成 
分 以 及 数据 恢复 成 分 。 用 户 安全 成 分 用 密 钥 加 密 明 文 数据 ,并 且 在 传送 密 文 时 还 传送 一 个 


@ 严格 地 说 ,满足 以 下 三 个 条 件 的 密码 算法 才 是 真正 的 一 次 一 密 : 密 钥 是 随机 产生 的 ,并 且 必 须 是 真 随机 数 , 而 不 
是 伪 随 机 数 ; 密 钥 不 能 重复 使 用 ; 密 钥 的 有 效 长 度 不 小 于 密 文 的 长 度 。 一 次 一 密 是 最 安全 的 加 密 算法 ,双方 一 旦 安全 地 
共享 了 密 钥 , 他 们 之 间 交 换 信息 的 过 程 就 是 绝对 安全 的 。 这 种 算法 在 一 些 要 求 高 度 机 密 的 场合 下 使 用 。 


由 
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数据 恢复 域 (Data Recovery Field.DRF) 。 数 据 恢复 成 分 使 用 包含 在 DRF 中 的 信息 以 及 由 
密 钥 托管 成 分 提供 的 信息 恢复 明文 。 三 部 分 之 间 的 关系 如 图 2-18 所 示 。 


密 铀 司机 
明文 人 窗 文 、 明文 
解密 ) 一 一 


用 户 安全 成 分 
密 钥 托管 成 分 


数据 恢复 成 分 
2-18 密 钥 托管 体制 的 组 成 部 分 


用 户 安全 成 分 是 提供 数据 加 解密 功能 和 支持 密 钥 托管 功能 的 硬件 设备 或 软件 程序 ; 密 
钥 托管 成 分 用 于 存储 所 有 的 数据 恢复 密 钥 ,通过 向 数据 恢复 成 分 提供 所 需 的 数据 和 服务 以 
支持 数据 恢复 成 分 ; 数据 恢复 成 分 是 由 密 钥 托管 成 分 提供 的 用 于 通过 密 文 及 DRF 中 的 信 
息 获得 明文 的 算法 .协议 或 仪器 。 

自从 密 钥 托 管 技术 出 现 以 来 ,许多 人 对 此 颇 有 争议 ,他 们 认为 密 钥 托管 技术 侵犯 个 人 隐 
私 。 尽 管 如 此 ,由 于 这 种 密 钥 备用 与 恢复 手段 不 仅 对 政府 机 关 有 用 ,也 对 用 户 自己 有 用 , 许 
多 国家 都 制定 了 相关 的 法 律 法 规 。 美 国政 府 1993 年 4 月 颁布 了 EES(Escrow Encryption 
Standard, 托 管 加 密 标准 ) ,该 标准 体现 了 一 种 新 的 思想 , 即 对 密 钥 实行 法 定 托管 代理 的 机 
制 。 该 标准 使 用 的 托管 加 密 技 术 不 仅 提供 了 加 密 功 能 ,同时 也 使 政府 可 以 在 法 律 许可 下 监 
听 一 些 犯罪 嫌疑 行为 。 该 标准 的 加 密 算法 使 用 的 是 Skipjack。 后 来 美国 政府 进一步 改进 并 
提出 了 KES(Key Escrow Standard, 密 钥 托 管 标准 ) 政 策 ,希望 用 这 种 办 法 加 强 政 府 对 密码 
使 用 的 调控 管理 。 目 前 ,在 美国 有 许多 组 织 都 参加 了 KES 和 EES 的 开发 工作 。 


2.5.5 密 钥 管理 基础 设施 


美国 国家 安全 系统 委员 会 于 1997 年 着 手 建立 一 个 完善 的 密 钥 管理 体制 ,包括 公 钥 基础 
设施 (Public Key Infrastructure, PKI)?、 证书 管理 设施 (Certificate Management 
Infrastructure'CMI) 和 密 钥 管理 设施 (Key Management Infrastructure, KMI)。KMI 的 功 
能 包括 密 钥 生成 导出、 注册 、 证 书 建立 \ 证 书 安装 、 密 钥 和 证 书 的 存储 和 分 配 \ 证 书 状态 的 维 
护 、 注 册 注 销 、 密 钥 档案 、 密 钥 销毁 以 及 审计 功能 等 。 

KMI 为 传统 的 对 称 密 钥 、 非 对 称 密 钥 提供 安全 的 建立 ,分 发 .管理 服务 和 框架 。KMI 
和 PKI 一 起 通过 自动 管理 密 钥 ( 对 称 密 钥 或 非 对 称 密 钥 ) 和 证 书 ,为 用 户 建立 起 一 个 安全 的 
网 络 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数 
据 的 机 密 性 、 完 整 性 和 有 效 性 。 


@ PKI 技 术 参 见 第 4 章 。 
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2.6 加 解密 技术 


到 目前 为 止 ,我 们 已 经 介绍 了 各 种 各 样 的 加 密 算法 ,包括 以 DES、AES 为 代表 的 对 称 密 
码 算法 ,也 包括 以 RSA 、Elgamal 为 代表 的 非 对 称 密码 算法 。 这 些 加 密 算法 既 可 以 通过 硬件 
实现 ,也 可 以 通过 软件 实现 。 


2.6.1 硬件 加 密 技术 


硬件 加 密 技术 的 主要 优点 就 是 加 密 速度 快 。 因 此 ,在 商业 和 军事 上 都 广泛 地 采取 硬件 
加 密 技术 ,例如 NSA 只 对 硬件 加 密 授权 使 用 。 许 多 算法 ,例如 DES 和 RSA, 大 都 是 比 串 操 
作 , 它 们 在 微 处 理 器 上 实现 的 效率 很 低 。 虽 然 有 些 算法 在 设计 时 就 考虑 到 用 软件 来 实现 ,但 
相 比 专门 为 加 解密 设计 的 硬件 来 说 ,速度 还 是 慢 了 不 少 。 

其 次 ,硬件 加 密 技术 的 安全 性 较 好 。 可 以 将 硬件 加 密 设备 封装 成 一 个 “黑匣子 ”并 安装 
上 自 毁 装置 。 一 旦 发 现 有 任何 企图 拆 开 * 黑 匣子 ”的 动作 ,就 立即 启动 自 毁 装置 销毁 存储 的 
数据 。 例 如 ,IBM 的 密 钥 管理 系统 中 的 硬件 模块 就 有 类 似 的 装置 。 相 比 之 下 ,软件 加 密 技 
术 就 没有 这 样 的 保护 。 攻 击 者 可 以 在 我 们 毫 无 觉察 的 情况 下 偷偷 修改 算法 。 此 外 ,将 硬件 
加 密 设备 封装 成 一 个 “黑匣子 ”还 可 以 防止 电磁 辐射 泄露 。 

最 后 ,硬件 加 密 机 易于 安装 ,多 数 硬件 机 是 可 以 独立 使 用 的 ,如 果 对 电话 ,传真 , 数 据 线 
路 等 加 密 , 只 需要 在 发 送 端 放置 一 个 专用 硬件 加 密 机 用 于 加 密 ,在 接收 端 放置 一 个 加 密 机 用 
于 解密 就 可 以 了 。 

目前 ,加 密 硬 件 主要 有 三 类 : 自 带 加 密 模块 .用 于 通信 和 链 路 的 专用 加 密 盒 以 及 可 插入 个 
人 计算 机 的 插 卡 。 

当然 ,硬件 加 密 技 术 缺 点 是 兼容 性 不 好 。 用 户 在 购买 时 应 当 首先 明确 使 用 环境 和 目的 ， 
要 综合 考虑 自己 使 用 的 操作 系统 .应 用 软件 .网 络 等 方面 因素 ,避免 选 购 的 加 密 设 备 不 能 满 
足 要 求 。 


2.6.2 软件 加 密 技术 


任何 加 密 算法 都 可 用 软件 实现 ,软件 实现 加 密 的 优点 是 可 移植 性 较 好 、 易 使 用 、 价 格 低 、 
一 个 加 密 软 件 很 容易 在 多 台 计 算 机 上 使 用 。 与 此 相反 ,车 要 在 多 台 计 算 机 上 使 用 加 密 硬件 ， 
则 需要 多 台 硬 件 加 密 设备 。 

软件 加 密 技术 的 最 大 缺点 就 是 速度 慢 。 软 件 加 密 的 另 一 个 缺点 就 是 安全 性 较 差 。 这 是 
因为 : 首先 , 密 钥 的 存储 不 安全 。 只 要 密 钥 存储 在 磁盘 上 ,那么 就 可 以 通过 一 定 的 技术 将 密 
钥 读 出 来 。 因 此 ,一 旦 加 密 完 成 , 密 钥 都 应 当 被 销毁 。 但 不 幸 的 是 ,很 多 软件 都 没有 考虑 到 
这 一 点 。 其 次 ,攻击 者 可 以 秘密 地 修改 、 破 坏 加 密 软件 。 或 者 通过 恶意 程序 如 窃听 软件 、 森 
马 等 盗 取 用 户 的 密 钥 或 其 他 信息 。 

尽管 如 此 ,软件 加 密 程 序 很 大 众 化 ,使 用 相当 广泛 。 在 所 有 主要 的 操作 系 绕 上 都 有 加 密 
软件 可 利用 。 大 多 人 使 用 的 加 密 技术 都 是 软件 加 密 。 

硬件 加 密 和 软件 加 密 各 有 优 缺 点 ,它们 分 别 在 不 同 的 场合 发 挥 着 巨大 的 作用 。 


习题 2 


. 将 明文 变换 为 密 文 ,有 哪 两 种 方法 ? 
.密码 系统 由 哪 几 部 分 构成 ? 
.密码 分 析 方 法 有 几 类 ? 请 对 这 几 类 分 析 方 法 作 简要 说 明 。 
. 什么 是 主动 攻击 ? 什么 是 被 动 攻击 ? 
.请 用 你 擅长 的 语言 (C/C++ Java 等) 实现 维 吉 尼 亚 加 密 法 。 
. 请 解释 : 什么 是 对 称 密码 体制 ? 什么 是 非 对 称 密码 体制 ? 什么 是 分 组 密码 ?什么 
是 流 密 码 ? 什么 是 混淆 ? 什么 是 扩散 ? 
7. 请 描述 DES 加 密 算 法 的 流程 。 
8. 假设 Alice 要 向 Bob 传送 数字 10 ,并 且 Alice 采用 RSA 算法 加 密 ,Alice 选取 的 素数 
为 p= 二 19,q 二 23 以 及 私 钥 e 王 13。 
(1) 请 根据 以 上 信息 计算 Alice 的 公 钥 。 
(2) 利用 你 所 得 到 的 公 钥 和 私 钥 ,阐述 RSA 的 加 解密 过 程 。 
9. 请 结合 实际 例子 阐述 : 软件 加 密 和 硬件 加 密 各 有 什么 优 缺 点 ? 


中 an mo 
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计算 机 安全 有 四 大 安全 原则 : 机 密 性 、 完 整 性 、 可 认证 性 和 不 可 抵赖 。 机 
密 性 是 指 保 护 消息 内 容 不 泄漏 给 非 授 权 拥 有 此 消息 的 人 ,即使 是 攻击 者 观测 
到 了 消息 的 格式 ,也 无 法 从 中 提取 消息 的 内 容 或 得 到 任何 有 用 的 信息 。 实 现 
机 密 性 的 最 重要 手段 就 是 采用 加 密 算法 对 消息 进行 加 密 , 这 是 本 书 上 一 章 的 
内 容 。 完 整 性 是 指 保证 消息 的 内 容 没有 受到 任何 非法 修改 ,删除 或 蔡 代 。 最 
常用 的 方法 完整 性 保护 是 采用 封装 和 签名 , 即 用 加 密 的 方法 或 Hash 函数 产 
生 一 个 明文 的 摘要 附 在 传送 消息 上 ,作为 验证 消息 完整 性 的 依据 ,也 称 为 完 
整 性 校 验 值 。 可 认证 性 是 最 重要 的 安全 性 质 之 一 ,所 有 其 他 安全 性 质 都 依赖 
于 此 性 质 的 实现 ,认证 是 对 主体 进行 身份 识别 的 过 程 。 不 可 抵赖 也 称 不 可 否 
认 性 , 即 用 户 不 可 否认 敏感 的 消息 或 文件 。 不 可 否认 性 包含 的 内 容 很 多 ,如 
接收 方 不 可 否认 发送 方 不 可 否认 等 。 


3.1 安全 协议 


互联 网 已 给 经 济 、 生 活 、 军 事 等 领域 带 来 了 巨大 变革 。 互 联网 的 出 现 和 
发 展 与 TCP/IP 协议 族 密切 相关 。 与 互联 网 迅速 发 展 相 随 的 是 逐年 增加 的 
网 络 入侵 事件 ,网 络 安全 问题 日 益 成 为 我 们 需要 关注 的 焦点 。 影 响 网 络 安全 
的 因素 是 多 方面 的 ,这 里 先 从 网 络 协议 的 设计 引入 进行 探讨 。 


3.1.1 安全 协议 的 定义 


安全 协议 ,有 时 也 称 为 密码 协议 ,是 以 密码 学 为 基础 的 消息 交换 协议 ,此 
定义 包含 以 下 两 层 含义 : @ 安 全 协议 以 密码 学 为 基础 ,体现 了 安全 协议 与 普 
通 协议 之 间 的 差异 ; 加 安全 协议 也 是 通信 协议 ,其 目的 是 在 网 络 环境 中 提供 
各 种 安全 服务 。 密 码 学 是 网 络 安全 的 基础 ,但 网 络 安全 不 能 单纯 依靠 安全 的 
密码 算法 。 安 全 协议 是 网 络 安全 的 一 个 重要 组 成 部 分 ,需要 通过 安全 协议 进 
行 实体 之 间 的 认证 、 在 实体 之 间 安 全 地 分 配 密 钥 或 其 他 各 种 秘密 、 确 认 发 送 
和 接收 的 消息 的 不 可 否认 性 等 。 
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总 之 ,安全 协议 是 建立 在 密码 体制 基础 上 的 一 种 交互 通信 协议 , 它 运用 密码 算法 和 协议 
逻辑 来 实现 认证 和 密 钥 分 配 等 目标 。 

全 面 掌握 安全 协议 定义 ,还 需 了 解 安全 协议 在 运行 环境 中 的 角色 。@ 协 议 参与 者 , 即 协 
议 执行 过 程 中 的 双方 或 多 方 ,也 就 是 发 送 方 与 接收 方 。 协 议 的 参与 者 可 能 是 完全 信任 的 人 ， 
也 可 能 是 攻击 者 ,例如 ,认证 协议 : 发 起 者 /响应 者 ; 签名 协议 : 签名 申请 者 /签署 人 /验证 
人 ; 零 知识 证 明 : 证 明 者 /验证 者 ; 电子 商务 协议 , 商家 /银行 /用 户 。@ 攻 击 者 (或 称 敌 
手 ) , 即 协议 过 程 中 企图 破坏 协议 安全 性 的 人 。 如 被 动 攻击 者 主要 是 试图 获取 信息 , 主动 攻 
击 者 则 是 为 了 达到 欺骗 .获取 敏感 信息 .破坏 协议 完整 性 的 目的 。 攻 击 者 可 能 是 合法 的 参与 
者 ,或 是 外 部 实体 ,也 可 能 是 协议 的 参与 者 。@ 可 信 第 三 方 , 即 在 完成 协议 的 过 程 中 ,能 帮助 
可 信任 的 双方 完成 协议 的 值得 信任 的 第 三 方 。 如 仲裁 者 (用 于 解决 协议 过 程 中 出 现 的 纠纷 ) 
和 密 钥 分 发 中 心 等 。 
3.1.2 安全 协议 的 分 类 

按照 协议 完成 的 功能 进行 划分 ,最 常用 的 安全 协议 主要 有 以 下 四 类 。 

1. 密 钥 生成 协议 

密 钥 生成 协议 的 目的 是 在 通信 的 实体 中 建立 共享 的 会 话 密 钥 ,会话 密 钥 通常 使 用 对 称 
密码 算法 对 每 一 次 单独 的 会 话 加密 。 密 钥 生成 协议 可 采用 对 称 密码 体制 或 非 对 称 密码 体制 
建立 会 话 密 钥 ,可 借助 于 一 个 可 信 的 服务 器 为 用 户 分 发 密 钥 , 即 密 钥 分 发 协议 ,可 通过 两 个 
用 户 协商 建立 会 话 密 钥 。 

2. 认证 协议 

认证 是 对 数据 、 实 体 标识 的 认证 。 数 据 完整 性 可 由 数据 来 源 认证 保证 。 实 体 认证 是 确 
认 某 个 实体 的 真实 性 的 过 程 。 认 证 协议 主要 用 于 防止 假冒 攻击 。 

3. 电子 商务 协议 

电子 商务 就 是 利用 电子 信息 技术 进行 各 种 商务 活动 。 电 子 商 务 协议 中 主体 往往 代表 交 
易 的 双方 目标 利益 不 太一 致 。 因 此 电子 商务 协议 最 关注 公平 性 , 即 协议 应 保证 交易 双方 都 
不 能 通过 损害 对 方 利益 得 到 不 应 该 得 到 的 利益 。 常 见 的 电子 商务 协议 有 拍卖 协议 SET 协 
议 等 。 

4. 安全 多 方 计算 协议 

安全 多 方 计算 协议 的 目的 是 保证 分 布 式 环境 中 各 参与 者 以 安全 的 方式 来 共同 执行 分 布 
式 的 计算 任务 。 分 布 式 计算 环境 中 不 妨 假定 在 执行 过 程 中 总 会 受到 一 个 实体 的 攻击 。 安 全 
多 方 计算 协议 的 两 个 最 基本 的 安全 要 求 是 保证 协议 的 正确 性 和 参与 方 私 有 输入 的 秘密 性 ， 
即 协议 执行 完 后 每 个 参与 方 都 应 得 到 正确 的 输出 ,并且 除 此 之 外 不 能 获知 其 他 任何 信息 (如 
数据 库 访问 、 联 合 签名 等 ) 。 

根据 参与 者 以 及 密码 算法 的 使 用 情况 进行 分 类 ,可 以 分 为 七 类 : 无 可 信 第 三 方 的 对 称 
密 铜 协议 .应 用 密码 校 验 函数 的 认证 协议 .具有 可 信 第 三 方 的 对 称 密 钥 协议 ,使 用 对 称 密 角 
的 签名 协议 .使 用 对 称 密 钥 的 重复 认证 协议 .无 可 信 第 三 方 的 公 钥 协议 和 有 可 信 第 三 方 的 公 
钥 协 议 。 
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3.2 数字 签名 


什么 是 数字 签名 呢 ? 这 是 初学 者 首先 需要 明确 的 概念 。 需 要 声明 的 是 : 将 手写 的 签名 
经 过 扫描 仪 扫描 后 再 输入 电脑 中 ,这 不 是 数字 签名 。 数 字 签 名 基于 非 对 称 密码 算法 。 我 国 
于 2004 年 8 月 28 日 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 一 次 会 议 通 过 了 《中 华人 民 
共和 国电 子 签 名 法 》( 简 称 ( 电 子 签名 法 》) ,法 律 中 对 电子 签名 ?的 定义 是 ; 数据 电文 中 以 电 
子 形式 所 含 、 所 附 用 于 识别 签名 人 身份 并 表明 签名 人 认可 其 中 内 容 的 数据 。 简 言 之 ,电子 签 
名 就 是 一 串 数据 ,该 数据 仅 能 由 签名 人 生成 ,并 且 该 数据 能 够 表明 签名 人 的 身份 。 《电子 签 
名 法 》 明 确 规定 : 数据 电文 不 得 仅 因 为 其 是 以 电子 光学、 磁 或 者 类 似 手段 生成 ,发 送 、 接 收 
或 者 储存 的 而 被 拒绝 作为 证 据 使 用 。 现 在 ,电子 签名 和 传统 文件 中 的 手写 签名 具有 同等 的 
法 律 效应 。 

数字 签名 在 网 络 安全 、 提 供 身份 认证 和 不 可 和 否认 性 等 方面 有 着 重要 意义 。《 电 子 签名 
法 》 的 颁布 对 我 国 的 电子 商务 进行 规范 和 整顿 具有 重要 推动 作用 。 

1991 年 ,美国 国家 标准 和 技术 学 会 (NIST) 发 布 了 数字 签名 标准 (Digital Signature 
Standard,DSS) 并 于 1993 年 和 1996 年 作 了 修订 。 在 数字 签名 标准 中 采用 的 是 数字 签名 算 
法 (Digital Signature Algorithm,DSA)。 虽 然 RSA 同样 具有 数字 签名 的 能 力 , 但 RSA 的 使 
用 不 是 免费 的 。 所 以 ,NIST 决定 开发 一 个 免费 的 数字 签名 算法 (DSA)。DSA 提出 之 后 ,受到 
了 很 多 公司 的 抵制 ,原因 是 多 方面 的 。 首 先 ,这 些 公司 曾经 在 RSA 上 投入 了 大 量 人 力 和 资金 。 
其 次 ,他 们 质疑 DSA 的 安全 性 。 虽 然 现 在 很 多 质疑 都 已 得 到 回击 ,但 并 没有 解决 所 有 问题 。 

为 什么 要 使 用 数字 签名 呢 ? 可 不 可 以 用 消息 验证 码 来 代替 数字 签名 呢 ? 答案 是 否定 
的 。 为 了 说 明 这 个 问题 ,我 们 考虑 下 面 的 情况 : 假设 Alice 和 Bob 正 通过 网 络 完成 一 笔 交 
易 , 那 么 可 能 出 现 两 种 欺骗 。 

(1) Bob 伪造 一 个 消息 并 使 用 与 Alice 共享 的 密 钥 K 产生 该 消息 的 认证 码 , 然 后 声称 
该 消息 来 自 A。 但 实际 上 Alice 并 未 发 送 任何 消息 。 

(2) 既然 Bob 有 可 能 伪造 Alice 发 来 的 消息 ,那么 Alice 就 可 以 对 自己 发 过 的 消息 予以 
否认 。 

这 两 种 欺骗 在 实际 应 用 中 都 有 可 能 发 生 。 双 方 争执 不 下 而 对 簿 公堂 ,但 如 果 没 有 更 有 
效 的 机 制 避免 这 种 争端 ,法 庭 根 本 无 法 做 出 仲裁 。 

为 了 能 够 有 效 地 解决 这 种 冲突 ,数字 签名 必须 具有 以 下 特点 。 

(1) 发 送 方 必须 用 自己 独 有 的 信息 来 签名 以 防止 伪造 和 否认 。 

(2) 这 种 签名 很 容易 产生 。 

(3) 对 于 接收 方 , 应 该 很 容易 验证 签名 的 真 伪 。 

(4) 对 于 给 定 的 工 , 找 出 y(y 取 7x) 使 得 签名 S(y) 二 SC(z) 在 计算 上 是 不 可 行 的 。 

(5) 找 出 任意 两 个 不 同 的 输入 xz,y, 使 得 SCy) 王 SCz) 在 计算 上 是 不 可 行 的 。 

数字 签名 体制 一 般 由 两 个 部 分 组 成 : 签名 算法 和 验证 算法 。 签 名 算法 的 密 钥 由 签名 方 
秘密 保存 ,验证 算法 的 密 钥 通常 是 公开 的 ,以 便 他 人 验证 签名 的 有 效 性 。 


@ ”电子 签名 在 本 书 中 同 数字 签名 具有 相同 的 概念 。 
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数字 签名 可 以 分 为 两 大 类 : 直接 数字 签名 和 基于 仲裁 的 数字 签名 。 直 接 数字 签名 的 实 
现 很 简单 ,仅仅 涉及 发 送 方 和 接收 方 两 个 通信 实体 。 接 收 方 需要 了 解 发 送 方 的 公开 密 钥 
Kbw。 发 送 方 使 用 其 私 钥 Ki 对 整个 消息 报 文 进行 加 密 来 生成 数字 签名 。 接 收 方 收 到 整个 
报 文 之 后 用 K,w 来 解密 。 基 于 仲裁 的 数字 签名 需要 可 信 第 三 方 的 参与 。 所 谓 可 信 第 三 方 ， 
是 指 所 有 通信 方 都 可 以 信赖 的 一 个 通信 实体 。 当 需要 数字 签名 时 ,发 送 方 Alice 发 往 接收 
方 Bob 的 所 有 签名 报 文 都 首先 送 给 仲裁 。 仲 裁 检验 该 报 文 及 其 签名 的 出 处 、 内 容 , 然 后 标 
注 报 文 日 期 ,并 附加 上 一 个 仲裁 的 签名 ,最 后 由 仲裁 发 给 Bob。 

在 特殊 场合 下 ,对 签名 算法 有 特殊 的 要 求 。 比 如 3. 2. 2 节 所 介绍 的 多 重 数字 签名 、 
3. 2.3 节 介绍 的 不 可 抵赖 数字 签名 以 及 3. 2.4 节 描 述 的 盲 签名 等 。 

下 面 对 一 些 常用 的 数字 签名 算法 加 以 介绍 。 


3.2.1 数字 签名 算法 

1. DSA 签名 算法 

DSA 签名 算法 利用 单 向 Hash 函数 产生 消息 的 一 个 Hash 值 ,Hash 值 连同 一 个 随机 数 
六 一 起 作为 签名 函数 的 输入 ,签名 函数 还 需 使 用 发 送 方 的 秘密 密 钥 和 供 所 有 用 户 使 用 的 公 
开 密 钥 。 签 名 函数 的 两 个 输出 和 :+ 就 构成 了 消息 的 签名 (s,t)。 接 收 方 收 到 消息 后 青 产 生 
消息 的 Hash 值 ,将 Hash 值 与 收 到 的 签名 一 起 输入 验证 函数 ,验证 函数 还 需 输 入 发 送 方 的 
公开 密 钥 。 如 果 验 证 函数 的 输出 与 收 到 的 签名 成 分 上 相等 , 则 验证 了 签名 是 有 效 的 。 

下 面 简单 介绍 DSA 签名 算法 的 过 程 。 在 介绍 DSA 签名 算法 过 程 之 前 ,必须 交代 DSA 
签名 算法 将 会 使 用 的 参数 。 

全 局 公开 密 钥 p: p 是 满足 2""! 二 p 二 2 的 大 素数 ,其 中 512 二 L1024 且 工 是 64 的 
倍数 。 

g: 9g 是 p 一 1 的 素 因子 ,满足 2 二 p 二 21%, 即 gq 长 为 160 比特 。 

g: 8 二 h* ?4mod p, 其 中 hh 是 满足 1<h<p 一 1 且 使 得 g 记 1 的 任 一 整数 。 

用 户 秘密 密 钥 xz: zx 是 满足 0 二 xg 的 随机 数 。 

用 户 的 公开 密 钥 y: y 三 g*mod p。 

秘密 随机 数 ~: r 满足 0 二 rq。 

DSA 签名 算法 过 程 如 图 3-1 所 示 ,具体 计算 如 下 。 
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图 3-1 DSA 签名 算法 过 程 


(1) 签名 方 首先 计算 三 Cgrmod p)mod g。 
(2) 利用 SHA 算法 计算 消息 M 的 Hash 值 HCMD。 


本 
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(3) 计算 ;三 r 1(H(MD) 二 zt) modg 

签名 方 完成 以 上 过 程 后 将 三 元 组 (M,s,z) 作 为 自己 的 签名 发 送 给 接收 方 。 接 收 方 收 到 
了 签名 (Mi ,s,D) ,为 了 验证 这 个 签名 ,所 做 计算 如 下 。 

(1) 计算 w=s :mod dg。 

(2) 计算 w=[HMi)*，wjmod gq,ws==tw mod gq。 

(3) 计算 v=[(g"y*)mod pjmod g, 验 证 wv 是 否 和 +t 相等 。 若 相等 ,验证 成 功 , 若 不 
等 , 则 接收 方 有 理由 认为 消息 Mi 是 伪造 的 ,拒绝 接收 该 签名 。 

证 明 如 下 。 

当 且 仅 当 M 一 MX 时 ,下 式 成 立 : 

v= [(g Mg )mod pjmod g = [g ”M+ mod pjmod g 
至 (gr mod pmod g 三 (g’mod pp)modg 一 上 

DSA 签名 算法 的 安全 性 是 基于 求解 离散 对 数 的 困难 性 。 

2. RSA 签名 算法 

在 理解 了 上 一 章 非 对 称 密码 算法 (RSA) 的 基础 上 ,来 学 习 RSA 签名 算法 就 非常 简单 
了 。 签 名 方 产生 了 一 对 公开 密 钥 (n,e) 和 私有 密 钥 (n,d) 之 后 ,就 可 以 对 消息 进行 签名 。 
RSA 算法 的 签名 过 程 如 图 3-2 所 示 。 


=| H=H(M) 


3-2 RSA 签名 算法 过 程 


签名 过 程 如 下 。 

(1) 利用 摘要 算法 计算 消息 的 摘要 H(MD 。 

(2) 用 私有 密 钥 (n,d) 加 密 消息 摘要 得 到 ;二 HCMD* mod n。 

签名 完成 之 后 ,签名 方 将 (M,s) 发 送 给 接收 方 。 接 收 方 收 到 签名 (Mi ,*) 之 后 通过 以 下 
步骤 进行 验证 。 

(1) 利用 摘要 算法 计算 消息 的 摘要 H(Mi)。 

(2) 用 公开 密 钥 (ze) 加 密 消 息 摘要 得 到 % = mod n。 如 果 si 一 昌 (M1) ,那么 验证 通 
过 ,否则 拒绝 接收 该 签名 。 因 为 当 且 仅 当 M 一 Mi 时 ,s 一 瓦 COM )。 

RSA 签名 算法 的 安全 性 是 建立 在 大 数 分 解 问题 的 困难 性 之 上 。 

3. Elgamal 签名 算法 

在 上 一 章 曾经 介绍 Elgamal 非 对 称 密码 算法 ,这 里 将 介绍 Elgamal 签名 算法 。Elgamal 
签名 算法 由 T. Elgamal 于 1985 年 提出 。 它 的 安全 性 基于 求解 离散 对 数 的 困难 性 。 
Elgamal 签名 算法 的 修正 版 已 被 美国 NIST 作为 数字 签名 的 标准 , 即 前 面 我 们 所 介绍 的 
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设 pp 是 一 个 大 素数 ; g 是 zx; 的 一 个 生成 元 ; zx 是 签名 方 的 秘密 密 钥 ,xz€E xx ; y 是 用 户 
A 的 公开 密 钥 ,> 一 smod p。 则 Elgamal 签名 算法 的 过 程 如 下 。 

对 于 待 签名 的 消息 M, 签 名 方 执行 以 下 步骤 。 

(1) 计算 M 的 Hash 值 万 COM) 。 

(2) 选择 随机 数 Ex; ,计算 上 一 gmod p。 

(3) 计算 *=[ 吾 COM) 一 zt 一 : mod(p 一 1)。 

然后 签名 方 将 以 CM,s,) 作 为 产生 的 数字 签名 发 送 给 接收 方 。 接 收 方 在 收 到 消息 Mi 
和 数字 签名 (s, 四 后 , 先 计算 及 (Mi ) ,并 按 下 式 验 证 : 二 go (mod p)。 

如 果 yf’ 与 gw (mod p) 相 等 , 则 验证 通过 ,否则 拒绝 接收 该 签名 。 验 证 的 正确 性 可 
以 通过 下 式 证 明 。 当 且 仅 当 M=M 时 ， 

省 ood ps) 

4. 其 他 数字 签名 方案 

除了 以 上 介绍 的 三 种 最 常见 的 数字 签名 方案 以 外 ,还 有 很 多 其 他 的 数字 签名 算法 ,比如 
Rabin 签名 算法 、Schnorr 签名 算法 .GOST 签名 算法 `.ESIGN 签名 算法 、Okamoto 签名 算 
法 、OSS 签名 算法 等 。 其 中 ,Rabin 签名 算法 的 安全 性 是 建立 在 大 数 分 解 这 一 难题 之 上 ; 而 
Elgamal、Schnorr、.DSA、GOST、ESIGN `Okamoto 等 签名 算法 的 安全 性 是 基于 有 限 域 上 求 
解 离散 对 数 的 困难 性 。 它 们 统称 为 离散 对 数 签名 体制 。GOST 签名 算法 是 俄罗斯 采用 的 数 
字 签 名 标准 ,ESIGN 签名 算法 .Okamoto 签名 算法 是 由 日 本 NTT 的 T. Okamoto 等 设计 
的 。OSS 签名 算法 于 1984 年 由 Ong、Schnorr、Shamir 等 联合 发 表 。 

关于 这 些 数字 签名 方案 ,读者 可 以 阅读 其 他 参考 书 。 


3.2.2 多 重 数字 签名 


在 很 多 情况 下 ,需要 两 个 或 多 个 人 同时 对 一 份 文件 进行 签名 ,例如 共同 签署 协议 的 
Alice、Bob、Carlos 甚至 更 多 人 。 为 描述 方便 起 见 , 不 妨 假设 Alice 和 Bob 需要 同时 对 文件 
进行 签名 。 那 么 ,签名 方案 有 三 种 。 

(1) Alice 和 Bob 分 别 对 文件 的 副本 签名 ,如 图 3-3(a) 所 示 。 

(2) Alice 首先 对 文件 进行 签名 ,然后 Bob 对 Alice 的 签名 再 进行 签名 ,如 图 3-3(b) 所 示 。 

(3) 利用 单 向 Hash 函数 实现 多 重 签名 ,如 图 3-3(c) 所 示 。 

前 两 种 多 重 签名 方案 有 明显 的 缺陷 : 如 果 Alice 和 Bob 分 别 对 文件 的 副本 进行 签名 ， 
那么 签名 的 消息 是 原文 的 两 倍 ; 第 二 种 方案 使 得 验证 签名 出 现 困难 。 在 不 验证 外 层 Bob 签 
名 的 情况 下 验证 内 层 Alice 的 签名 是 不 可 能 的 。 

但 如 果 采 用 单 向 散 列 函数 ,实现 多 重 签名 则 很 简单 。 具 体 步 又 如 下 。 

(1) Alice 对 文件 的 Hash 值 签名 。 

(2) Bob 对 文件 的 Hash 值 签名 。 

(3) Bob 将 他 的 签名 交 给 Alice。 

(4) Alice 把 文件 ,她 的 签名 和 Bob 的 签名 一 起 发 送 给 Carlos。 

(5) Carlos 分 别 验证 Alice 和 Bob 的 签名 。 
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文件 ”|Alice 的 签名 
两 份 文件 和 签名 一 
起 发 送 给 Carlos 
文件 Bob 的 签名 
(a) 
Bob 对 文件 和 
文件 ”|Alice 的 签名 | Alice 等 名 进行 | 一 二 > 发 送 给 Carlos 
签名 
(b) 
5 Alice 对 文件 | Bob 对 文件 sg 
文件 | Hash 值 荨 名 | Hash 什 签名 | 一 一 > 安 送 给 Carlos 


(0) 
3-3 多重 签 名 方案 


在 采用 单 向 Hash 函数 的 多 重 签名 方案 中 ,Alice 和 Bob 能 同时 或 顺序 地 完成 第 (1)、 
(2) 步 的 签名 。 而 Carlos 可 以 只 验证 其 中 一 人 的 签名 而 不 用 验证 另 一 人 的 签名 。 
以 上 例子 说 明 的 是 两 重 签名 的 情况 ,很 容易 将 之 推广 得 到 多 重 签名 方案 。 


3.2.3 不 可 抵赖 数字 签名 


到 目前 为 止 ,我 们 所 介绍 的 数字 签名 都 有 这 样 一 个 共同 点 : 签名 方 用 自己 的 私 钥 进行 
数字 签名 ,验证 方 用 签名 方 的 公 钥 进行 验证 ,而 签名 方 的 公 钥 是 公开 的 ,因此 ,任何 人 都 可 以 
对 这 份 文件 的 真实 性 进行 验证 。 这 在 一 些 场合 下 是 非常 有 用 的 ,比如 发 布 信息 公告 。 但 有 
些 时 候 人 们 又 想 尽 量 避 免 这 种 情况 ,比如 在 私人 信件 中 : 不 怀 好 意 的 朋友 总 是 可 以 把 你 的 
私人 信件 公布 于 众 , 并 且 任 何人 都 可 以 验证 。 于 是 签名 方 希 望 有 这 样 一 种 数字 签名 方案 ， 
在 没有 签名 方 的 同意 下 ,接收 方 不 能 把 签名 给 第 三 者 看 。 不 可 抵赖 数字 签名 正 是 这 样 一 种 
方案 。 

不 可 抵赖 数字 签名 的 思想 非常 简单 ,大致 过 程 如 下 所 述 。 

(1) Alice 向 Bob 出 示 一 个 签名 。 

(2) Bob 产生 一 个 随机 数 并 送 给 Alice。 

(3) Alice 利用 随机 数 和 其 私人 密 钥 进行 计算 ,并 将 计算 结果 发 送 给 Bob。Alice 只 能 
计算 该 签名 是 否 有 效 。 

(4) Bob 确认 这 个 结果 。 

Bob 不 能 让 第 三 者 Carlos 确信 Alice 的 签名 是 有 效 的 ,因为 Carlos 不 知道 Bob 的 随机 
数 。Carlos 只 有 在 他 与 Alice 本 人 完成 这 个 协议 后 才能 确信 Alice 的 签名 是 有 效 的 。 

最 先 由 David Chaum 提出 了 不 可 抵赖 数字 签名 的 具体 算法 。 算 法 原理 如 下 : 首先 公布 
一 个 大 素数 p 和 它 的 原 根 g。Alice 拥有 私 钥 x 并 公布 公 钥 > ,其 中 y= 一 8g* mod p。 当 需要 
签名 时 ,Alice 计算 z=m* mod p。 

Bob 对 数字 签名 的 验证 过 程 如 下 。 

(1) Bob 选择 两 个 小 于 p 的 随机 数 a 和 5, 计算 c 二 >*(g*)* mod p, 并 发 送 给 Alice。 
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(2) Alice 计算 上 一 z ! mod g,d 二 c* mod pp. 并 把 4d 发 送 给 Bob。 
(3) Bob 进一步 确认 : d 志 mg*(mod p)。 如 果 该 式 成 立 , 则 Bob 就 认为 签名 是 真实 的 ， 
否则 拒绝 该 签名 。 
正确 性 证 明 : 
d=c modp= (xg™* modp)’modp= (zx"g™)modp= (mg )modp 
由 于 :一 z mod (8p 一 ]), 所 以 iz=1 mod (p 一 1), 即 tx==kp(p) 十 1, 其 中 ,gp(p) 为 欧 
拉 函 数 , 因 为 p 是 素数 ,所 以 pg(p) 二 p 一 1。 
根据 欧 拉 定理 得 到 
二 三 mg )mod p= (mpcp+1] gt mod p 
= [(m’g’)mod pl[m™*r® gr mod pl] 
= [(m’g’)mod pl[(m*g”*)rt mod p] 
= [(m’g’)mod p]* 1 
= (mg’)mod p 
如 果 Bob 将 Alice 的 签名 给 Carlos 看 ,希望 Carlos 相信 这 是 Alice 的 签名 。 但 同时 ,如 
果 David 打算 使 Carlos 相信 这 是 Eva 的 签名 ,那么 他 可 以 伪造 该 协议 的 副本 ,首先 伪造 
第 (1) 步 的 消息 ,然后 作 第 (3) 步 的 计算 产生 d, 再 伪造 第 (2) 步 的 消息 , 称 这 个 d 来 自 Eva。 
对 于 Carlos 来 说 ,Bob 和 David 给 他 的 副本 是 相同 的 ,他 不 能 相信 签名 的 有 效 性 ,除非 他 亲 
自 和 Alice 完成 这 个 协议 。 


3.2.4 盲 签名 


通常 情况 下 ,签名 方 需要 了 解 他 所 要 签署 的 文件 的 内 容 , 和 否则 他 不 会 轻易 签名 。 但 在 一 
些 特殊 的 场合 ,Alice 可 能 需要 这 样 一 种 机 制 : 希望 Bob 对 一 份 文件 签名 ,但 又 不 想 他 知道 
文件 的 内 容 。 这 就 是 将 要 讨论 的 盲 签 名 , 盲 签 名 的 应 用 并 不 广泛 ,只 是 在 特定 的 领域 有 着 重 
要 的 用 途 , 比 如 在 新 型 电子 商务 中 。 

完全 育 签名 并 不 真正 实用 ,因为 Alice 可 以 让 Bob 签署 任意 一 份 对 她 有 利 的 文件 ,比如 
“Bob 欠 Alice 100 万 美元 ”……… 

实际 应 用 中 都 采用 “分 割 -选择 ”技术 ,可 使 Bob 知道 他 所 签署 文件 的 大 体内 容 , 但 是 并 
不 准确 。 

利用 RSA 算法 ,D. Chaum 最 初 于 1985 年 提出 了 第 一 个 盲 签 名 算法 。 该 算法 原理 如 下 。 

假设 签名 方 Bob 的 公 钥 为 (az,e) , 私 钥 为 (2z,d) : 

(1) 若 Alice 需要 Bob 对 消息 疡 进行 盲 签名 ,她 首先 选取 1 一 &<mz ,并 计算 三 Re mod n， 
将 计算 结果 发 送 给 Bob。 

(2) Bob 对 上 进行 盲 签名 ,计算 #* 夺 (mk*)* mod 2 并 将 计算 结果 发 送 给 Alice。 

(3) Alice 计算 S 三 1?/k mod 2 ,得 到 S 硅 m* mod n。 这 就 是 Bob 对 m 的 盲 签名 。 

正确 性 证 明 : 

因为 


1 (mk) modnmk modn 


所 以 
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d d 
mod n= < 


有 关 育 签名 的 更 深入 探讨 ,请 查阅 相关 书籍 。 
3.2.5 和 群 签名 


群 签名 , 即 群 数字 签名 。 群 签名 是 在 1991 年 由 Chaum 和 van Heyst 提出 的 一 个 签名 
概念 。Camenish、Stadler、Tsudik 等 对 这 个 概念 进行 了 修改 和 完善 。 群 签名 在 管理 ,军事 、 
政治 及 经 济 等 多 个 方面 有 着 广泛 的 应 用 。 

所 谓 群 签名 就 是 满足 这 样 要 求 的 签名 : 在 一 个 群 签名 方案 中 ,一 个 群体 中 的 任意 一 个 
成 员 可 以 以 匿名 的 方式 代表 整个 群体 对 消息 进行 签名 。 与 其 他 数字 签名 一 样 , 群 签名 是 可 
以 公开 验证 的 ,而 且 可 以 只 用 单个 群 公 钥 来 验证 。 

一 个 群 签名 是 一 个 包含 下 面 过 程 的 数字 签名 方案 。 

(1) 设置 : 一 个 用 以 产生 群 公 钥 和 群 管理 者 私 钥 的 概率 多 项 式 时 间 算 法 。 

(2) 加 入 : 一 个 用 户 和 群 管理 员 之 间 的 使 用 户 成 为 群 管理 员 的 交互 式 协 议 。 执 行 该 协 
议 可 以 产生 群 成 员 的 私 钥 和 成 员 证 书 , 并 使 群 管理 员 得 到 群 成 员 的 私有 密 钥 。 

(3) 签名 : 一 个 概率 算法 , 当 输 入 一 个 消息 和 一 个 群 成 员 的 私 钥 后 ,输出 对 消息 的 签名 。 

(4) 验证 : 输入 为 (消息 ,对 消息 的 签名 , 群 公 钥 ) 一 个 算法 ,在 群 公 钥 的 作用 下 ,确定 签 
名 的 有 效 性 。 

(5) 打开 : 一 个 在 给 定 一 个 签名 及 群 私 钥 的 条 件 下 确认 签名 人 的 合法 身份 的 算法 。 

一 个 好 的 群 签名 方案 一 般 具 有 以 下 特点 。 

(1) 正确 性 : 合法 成 员 发 出 的 签名 能 通过 验证 。 

(2) 匿名 性 : 给 定 一 个 群 签名 后 ,除了 和 群 管理 员 之 外 ,确定 签名 人 的 身份 在 计算 上 是 不 
可 行 的 。 

(3) 不 可 伪造 性 : 只 有 获得 群 成 员 证 书 和 签名 密 钥 的 群 成 员 才 能 够 生成 合法 的 群 签名 。 

(4) 不 可 关联 性 : 在 不 打开 群 签名 的 情况 下 ,确定 两 个 不 同 的 签名 是 否 为 同一 个 成 员 
签署 在 计算 上 不 可 行 。 

(5) 可 跟踪 性 : 群 管理 员 在 必要 的 时 候 可 以 打开 一 个 签名 ,确认 签名 者 的 身份 。 

(6) 抗 合谋 攻击 型 : 即使 一 些 群 成 员 串 通 在 一 起 也 不 能 产生 其 他 人 的 合法 签名 或 不 可 
跟踪 的 合法 签名 。 

(7) 防 陷害 攻击 : 包括 群 管理 员 在 内 的 任何 人 都 无 法 以 其 他 成 员 身份 产生 合法 的 群 签名 。 

如 群 管理 者 计算 通常 的 签名 方案 的 密 钥 对 (sig。,vers) ,计算 概率 公开 密 钥 密 钥 加 密 方 
案 的 密 钥 对 (encr ,decrs) ,公布 两 个 公开 密 钥 作 为 群 公开 密 钥 。Alice 以 如 下 方式 加 入 该 
群 : 选择 一 个 秘密 的 随机 密 钥 z 并 计算 成 员 密 钥 二 f(x),f 是 单 向 函数 。Alice 发 送 = 给 
管理 者 ,管理 者 返回 一 个 成 员 证 书 v= sig。, (x)。Alice 的 群 私 钥 是 元 组 (zx,z,v)。 

为 了 代表 群 对 消息 m 签名 , Alice 使 用 群 管理 者 的 加 密 密 钥 encre 对 (m,z) 加 密 , 即 
d 二 encra(r,(m,z)),r 是 充分 大 的 随机 串 。Alice 计算 一 个 非 交 互 最 小 泄露 证 明 p ,证明 她 
知道 zi ,vw 和 六 满足 如 下 方程 : 4d 二 encrs (ri,(m,f(z1))) 和 vers (vi,f(zx1)) 二 correct。 

Alice 对 消息 m 的 签名 是 (d,p) ,签名 可 通过 检查 证 明 p 进行 验证 。 若 要 打开 此 签名 ， 
群 管理 者 解密 密 文 d 得 到 成 员 密 钥 >, 从 而 揭示 Alice 的 身份 。 


modn= mmodn 
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3.3 消息 认证 和 身份 认证 


认证 分 为 两 种 ,一 是 对 消息 的 认证 ,二 是 对 身份 的 认证 。 在 本 节 中 ,将 集中 曾 述 如 何 对 
消息 进行 认证 。 在 下 一 章 将 集中 说 明 如 何 对 身份 进行 认证 。 

所 谓 消息 认证 ,是 指 接收 方 对 收 到 的 消息 进行 检验 ,检验 内 容 包括 消息 的 源 地 址 、 目 的 
地 址 ,消息 的 内 容 是 否 受到 算 改 以 及 消息 的 有 效 生存 时 间 等 。 消 息 认证 可 以 是 实时 的 ,也 可 
以 是 非 实时 的 。 例 如 ,网 上 银行 对 消息 的 认证 属于 实时 认证 ,而 电子 邮件 中 对 消息 的 认证 属 
于 非 实 时 认证 。 

所 谓 身份 认证 ,是 指 系统 对 网 络 主体 进行 验证 的 过 程 ,用 户 必须 向 系统 证 明 其 身份 。 系 
统 验 证 通信 实体 的 一 个 或 多 个 参数 的 真实 性 和 有 效 性 ,以 判断 他 的 身份 是 否 和 他 所 声称 的 
身份 一 致 。 相 当 于 现实 生活 中 通过 检验 身份 证 来 识别 身份 。 


3.3.1 消息 认证 的 概念 


消息 认证 离 不 开 Hash 函数 ,因此 本 部 分 首先 介绍 Hash 函数 。 

在 密码 学 书籍 中 经 常 可 以 见 到 单 向 函数 、.Hash 函数 、 单 向 Hash 函数 以 及 单 向 陷 门 函 
数 等 概念 。 这 些 概 念 是 消息 认证 、 身 份 认证 、 非 对 称 密码 算法 以 及 数字 签名 的 基石 。 

1. 单 向 函数 

顾名思义 , 单 向 函数 的 计算 是 不 可 道 的 。 即 已 知 x 要 计算 y 使 得 y= 二 f(z) 很 容易 ; 但 
若 已 知 y 要 计算 xz, 使 得 zx 二 =f"'(y) 就 很 困难 。 在 这 里 ,“ 困 难 ” 的 程度 定义 为 : 即便 使 用 世 
界 上 所 有 的 计算 机 一 起 计算 zx 值 , 都 需要 花 数 百 万 年 甚至 更 长 的 时 间 。 

生活 中 类 似 单 向 函数 的 例子 很 多 ,比如 拼图 。 要 把 一 个 完整 的 拼图 拆 开 并 打 乱 是 一 件 
很 简单 的 事情 ,但 是 如 果 要 把 这 些 混乱 的 小 图 案 拼 成 一 张 完整 的 图 却 需要 很 长 的 时 间 。 

2. Hash 函数 

在 计算 机 科学 领域 中 , Hash 函数 是 使 用 得 最 广泛 的 概念 之 一 。 它 把 可 变 长 度 的 输入 
字符 串 映射 为 固定 长 度 的 输出 字符 串 。 和 输出 字符 串 被 称 为 "Hash 值 "。 如 果 对 于 不 同 的 输 
入 经 过 Hash 映射 后 却 得 到 了 相同 的 Hash 值 ,我 们 就 称 该 Hash 函数 产生 了 冲突 。 一 个 好 
的 Hash 函数 应 该 是 无 冲突 的 。Hash 函数 是 公开 的 ,任何 人 都 可 以 看 到 它 的 处 理 过 程 。 
Hash 函数 不 一 定 是 单 向 函数 ,对 于 那些 既是 Hash 函数 ,也 是 单 向 函数 的 映射, 我 们 称 为 单 
向 Hash 函数 ,用 电 (，。) 表 示 。 

单 向 Hash 函数 既 有 单 向 函数 的 特点 ,也 有 Hash 函数 的 特点 。 对 于 信息 M, 要 计算 
电 (M) 二 m 很 简单 ,但 车 给 定 Hash 值 m, 要 找 出 其 相对 应 的 原文 M 是 相当 困难 的 。 

3. 单 向 陷 门 函数 

单 向 陷 门 函数 是 一 类 特殊 的 单 向 函数 , 它 包含 一 个 秘密 陷 门 。 在 不 知道 该 秘密 陷 门 的 
情况 下 ,计算 函数 的 送 是 非常 困难 的 。 但 若 知道 该 秘密 陷 门 ,那么 计算 函数 的 逆 就 非常 简 
单 。 数 学 上 对 单 向 陷 门 函数 的 严格 定义 是 : 把 数论 函数 f(x) 称 为 单 向 陷 门 函数 ,如 果 它 满 
足下 面 三 个 条 件 : 

(1) 对 fx) 的 定义 域 中 的 每 一 个 , 均 存 在 函数 广 : (2) ,使 得 
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(2) Fo) 与 让 !(n) 都 很 容易 计算 ; 

(3) 仅 根 据 已 知 的 计算 f(x) 的 算法 ,去 找 出 计算 广 : (x) 的 容易 算法 是 非常 困难 的 。 

仍 以 拼图 为 例 , 如 果 不 知道 拼图 各 个 碎片 的 编号 ,要 将 混乱 的 碎片 拼 成 完整 的 图 是 困难 
的 ; 但 如 果 知 道 碎 片 的 编号 ,要 完成 整个 工作 就 相当 简单 。 

单 向 陷 门 函数 是 非 对 称 密码 学 的 基础 。 非 对 称 密码 算法 如 RSA、ECC 等 利用 了 单 向 陷 
门 函数 的 性 质 。 而 单 向 函数 和 单 向 Hash 函数 却 不 能 用 做 加 密 , 为 什么 呢 ? 因为 计算 单 向 
函数 的 道 是 非常 困难 的 ,如 果 利 用 单 向 函数 加 密 , 任 何人 都 不 可 能 进行 解密 。 单 向 Hash 函 
数 的 作用 在 于 消息 认证 。 

接 下 来 看 一 下 消息 认证 系统 的 概念 。 消 息 认证 的 基本 方法 有 两 种 ,一 是 采用 Hash 函 
数 ,二 是 采用 消息 认证 码 (Message Authentication Code, MAC)。 这 两 种 方法 的 区 别 在 于 是 
否 需 要 密 钥 的 参与 。 消 息 认证 码 是 指 消息 被 一 密 钥 控制 的 公开 函数 作用 后 产生 的 固定 长 度 
的 、 用 做 认证 符 的 数值 。 为 了 能 够 对 消息 进行 认证 ,通信 双方 Alice 和 Bob 需要 共享 一 密 钥 
K。 设 Alice 欲 发 送 给 Bob 的 消息 是 M,Alice 首先 计算 MAC= f(K,M) ,其 中 函数 f(，) 
是 有 密 钥 控制 的 公开 函数 ,然后 将 原 消 息 和 MAC 值 级 联 在 一 起 ,再 向 Bob 发 送出 去 。Bob 
收 到 消息 后 做 与 Alice 相同 的 计算 , 求 得 一 新 MAC ,并 与 收 到 的 MAC 做 比较 。 由 于 除了 
Alice 和 Bob 之 外 ,没有 其 他 人 知道 密 钥 K。 因 此 ,如 果 比 较 结果 相等 , 则 Bob 有 理由 认为 
该 消息 确 由 Alice 所 发 ,而 且 传输 过 程 中 没有 经 过 任何 修改 ; 如 果 比 较 结果 不 相等 ,那么 
Bob 拒绝 接收 该 消息 。Bob 可 以 认为 要 么 该 消息 是 伪造 的 ,要 么 该 消息 在 传输 过 程 中 出 了 
差错 。MAC 的 认证 方式 如 图 3-4 所 示 。 


级 联 | 和 接收 

| 拒绝 
MAC 
| AK.M | 
1 
fs | 
J 

发 送 方 Alice 接收 方 Bob 


图 3-4 MAC 认证 方式 示意 


细心 的 读者 不 难 发 现 , Alice 和 Bob 的 通信 内 容 在 网 上 是 以 明文 形式 传输 的 。 因 此 攻 
击 者 也 能 够 看 到 完整 的 消息 内 容 。 在 一 些 情况 下 ,Alice 和 Bob 不 希望 第 三 者 能 够 解读 消 
息 , 因 此 Alice 需要 对 消息 M 进行 加 密 。 加 密 的 方式 有 两 种 : 其 一 ,Alice 首先 将 M 进行 加 
密 得 到 密 文 C ,然后 再 计算 密 文 C 的 MAC, 最 后 将 C 和 MAC 级 联 在 一 起 发 送 给 Bob, 如 
图 3-5 所 示 ; 其 二 ,Alice 计算 出 M 的 MAC 值 之 后 ,将 M 和 MAC 级 联 , 对 整个 消息 进行 加 
密 , 然 后 发 送 给 Bob ,如 图 3-6 所 示 。 一 般 情 况 下 ,Bob 更 希望 对 接收 到 的 整个 消息 进行 认 
证 ,因此 ,第 二 种 方式 更 为 常用 。 

用 Hash 函数 进行 消息 认证 则 不 需要 密 钥 的 参与 。Hash 函数 是 一 个 公开 的 函数 , 它 可 
以 将 任意 长 的 消息 M 映射 为 一 个 较 小 固定 长 度 值 五 CM) ,我 们 称 函 数值 有 H(M) 为 Hash 值 
( 散 列 值 )、Hash 码 ( 散 列 码 ) 或 Hash 摘要 。Hash 码 是 消息 中 所 有 比特 的 函数 ,任意 一 个 比 
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, ， k 接收 ， 然 
加 级 联 1 后 解密 C 
一 密 “| C He AKO | 相等 ? | 一 4 得 到 M 
“| 了 Wa {1 
AK.O | 
人 
天 1 
b hi .i 
发 送 方 Alice 接收 方 Bob 
图 3-5 MAC 认证 方式 示意 一 一 只 加 密 M 
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AK, MW | 
1 
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发 送 方 Alice 接收 方 Bob 
3-6 ”MAC 认证 方式 示意 一 一 加 密 整个 消息 


特 的 改变 都 将 会 使 Hash 码 发 生 巨大 改变 。 因 此 ,利用 Hash 函数 可 以 检测 消息 传播 过 程 中 
是 否 遭 受 算 改 。 因 此 , 单 从 这 一 点 上 看 ,Hash 函数 的 功能 类 似 于 循环 元 余 校 验 码 (CRC) 和 
奇偶 校 验 码 。 

跟 消息 认证 码 一 样 ,Hash 函数 也 有 多 种 使 用 方式 : 可 以 只 进行 Hash 摘要 ,也 可 以 配 
合 加 密 算法 一 起 使 用 。 参 照 图 3-4、 图 3-5 和 图 3-6, 可 以 得 到 图 3-7 一 图 3-9 所 示 的 Hash 函 
数 使 用 方式 。 除 此 之 外 ,Hash 函数 如 果 配 合 非 对称 密 钥 加 密 算 法 一 起 使 用 ,就 提供 了 数字 


签名 的 功能 。 
接收 
1。 


发 送 方 Alice 接收 方 Bob 
3-7 ”Hash 函数 使 用 方式 示意 


| 接收 ， 然 
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M | 密 -CC HH MO | 相等 ? | 一 4 得 到 M 
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图 3-8 ”Hash 函数 使 用 方式 示意 一 一 只 加 密 M 
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图 3-9 Hash 函数 使 用 方式 示意 


加 密 整 个 消息 


Hash 函数 相当 于 为 需要 认证 的 数据 产生 一 个 “数字 指纹 ”。 为 了 能 够 实现 对 数据 的 认 
证 ,Hash 函数 应 满足 以 下 条 件 。 

(1) 函数 的 输入 可 以 是 任意 长 。 

(2) 函数 的 输出 是 固定 长 。 

(3) 已 知 z, 求 H(z) 较为 容易 ,可 用 硬件 或 软件 实现 。 

(4) 已 知 有 , 求 使 得 H(zx)=h 的 xz 在 计算 上 是 不 可 行 的 ,这 一 性 质 称 为 函数 的 单 向 性 ， 
称 瑟 (z) 为 单 向 Hash 函数 。 

(5) 对 于 给 定 的 工 , 找 出 y(y 取 7) 使 得 有 H(y) 二 H(z) 在 计算 上 是 不 可 行 的 。 如 果 单 向 
Hash 函数 满足 这 一 性 质 , 则 称 其 为 弱 无 碰撞 。 

(6) 找 出 任意 两 个 不 同 的 输入 zx,y, 使 得 有 H(y)= 二 H(z) 在 计算 上 是 不 可 行 的 。 如 果 单 
向 Hash 函数 满足 这 一 性 质 , 则 称 其 为 强 无 碰撞 。 

了 解 了 消息 认证 的 两 种 基本 方法 ,下 面 介绍 具体 的 消息 认证 算法 。 

3.3.2 消息 认证 算法 

1. MD5 算法 

MD5 是 密码 学 家 Ron Rivest 提出 来 的 算法 ,MD5 根源 于 一 系列 消息 摘要 算法 ,从 最 初 
很 脆弱 的 MD 到 现在 广泛 使 用 的 MD5 (包括 未 发 表 的 MD3) ,Ron Rivest 做 出 了 卓越 的 
贡献 。 

MD5 是 一 种 速度 非常 快 的 消息 摘要 算法 。MD5 的 输入 可 以 是 任意 长 ,以 512 位 为 单 
位 分 成 块 ,输出 是 128 位 的 消息 摘要 。 

大 体 上 说 ,MD5 算法 总 共 分 为 以 下 五 步 。 

1) 填充 字 节 

在 原 消息 中 增加 填充 位 ,增加 的 长 度 在 1 一 512 之 间 。 从 而 使 填充 后 的 消息 长 度 等 于 一 个 
值 ,该 值 比 512 的 倍数 少 64。 例 如 , 原 消息 长 度 为 100 位 ,那么 应 该 填充 348 位 ,因为 100 十 
348 二 512 一 64; 如 果 原 消息 长 度 为 448, 那 么 应 该 填充 512 位 ,因为 448 十 512 一 1024 一 64。 

为 什么 填充 后 的 消息 长 度 要 比 512 的 倍数 少 64 呢 ? 这 是 因为 这 64 位 是 用 来 记录 原 消 
息 长 度 的 。 如 果 原 消息 长 度 大 于 2” ,那么 就 取 其 低 64 位 值 。 填 充 后 的 消息 长 度 加 上 64 位 
长 度 值 ,使 得 整个 消息 的 长 度 变 成 了 512 的 倍数 。 

2) 分 块 

由 于 整个 消息 的 长 度 为 512 的 倍数 ,所 以 可 以 将 消息 分 成 很 多 块 , 每 块 长 512 位 ,每 一 
块 由 16 个 32 比特 的 字 构成 。 
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3) 初始 化 寄存 器 


MD5 缓冲 区 初始 化 算法 要 使 用 128 比特 长 的 缓冲 区 以 存储 中 间 结 果 和 最 终 Hash 值 ， 
缓冲 区 用 4 个 32 比特 长 的 寄存 器 A,B,C,D 构成 。 每 个 寄存 器 的 初始 十 六 进 制 值 分 别 为 
A=0x01234567,B=0x89ABCDEF,C=0xFEDCBA98,D=0x76543210。 

4) 处 理 每 一 个 分 块 

每 一 个 分 块 都 由 压缩 函数 媚 (。) 处 理 , 压 缩 函数 是 算法 的 核心 , 它 又 有 4 轮 处 理 ,每 一 
轮 16 步 ,总 共 64 步 。 

5) 输出 结果 

每 一 个 分 块 都 被 处 理 之 后 ,最 后 压缩 函数 的 输出 即 为 产生 的 消息 摘要 。 

MD5 算法 的 整个 过 程 如 图 3-10 所 示 。 


原始 消息 。 “| 填充 位 长 度 :; 1~512 


ss | 


分 块 ! | 和 | … [分 块 -1 和 | 
128 位 128 位 
初始 一 一 六 的 消息 
交 量 摘要 


3-10 MD5 算法 过 程 示意 


2. SHA 算法 

SHA(Secure Hash Algorithm ,安全 Hash 算法 ) 算 法 最 初 是 1993 年 由 美国 国家 标准 与 
技术 学 会 NIST 和 NSA 联合 发 布 的 。1995 年 作 了 一 些 修订 ,后 来 正式 更 名 为 SHA-1。 

SHA 的 输入 长 度 没 有 下 限 ,但 上 限 是 2*。 这 和 MD5 算法 不 一 样 ,MD5 算法 没有 规定 
输入 消息 长 度 上 限 。SHA 算法 的 输出 为 160 位 的 消息 摘要 , 比 MD5 的 输出 长 32 位 。 

同 MD5 一 样 ,SHA 是 在 MD4 的 基础 上 修改 而 成 的 。 因 此 ,SHA 和 MD5 有 很 多 的 相 
同 点 。SHA 大 体 也 是 由 五 步 构 成 。 

1) 填充 

填充 的 方法 和 MD5 一 样 ,使 得 填充 后 的 消息 长 度 比 512 的 倍数 少 64。 

2) 分 块 

将 整个 消息 分 成 512 位 的 块 , 这 些 块 就 是 消息 摘要 处 理 的 逻辑 输入 。 

3) 初始 化 寄存 器 

SHA 缓冲 区 初始 化 算法 要 使 用 160 比特 长 的 缓冲 区 以 存储 中 间 结 果 和 最 终 Hash 
值 ,缓冲 区 用 5 个 32 比特 长 的 寄存 器 A,B.C,D,E 构成 。 每 个 寄存 器 的 初始 十 六 进 制 
值 分 别 为 A 二 0x01234567,B= 二 0x89ABCDEF,C=0xFEDCBA98,D==0x76543210,E= 
0xFOE1D2C3 。 

4) 处 理 每 一 个 分 块 

处 理 的 过 程 和 MD5 算法 类 似 , 不 同 的 是 ,每 轮 的 压缩 函数 有 20 步 迭 代 , 因 此 总 共 80 步 
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5) 输出 结果 
每 一 个 分 块 都 被 处 理 之 后 ,最 后 压缩 函数 的 输出 即 为 产生 的 消息 摘要 。 
SHA-1 算法 的 整个 过 程 如 图 3-11 所 示 。 


是 皇位 发， ee 
| | 


分 块 1 二 分 块 n-1 | 分 块 n 


160 位 初 本 和 - 有 160 位 的 
始 变量 消息 摘要 


3-11 SHA-1 算法 过 程 示 意 


3. HMAC 算法 

HMAC 是 指 基于 散 列 的 消息 认证 码 (Hash-based Message Authentication Code)。 在 
Internet 上 广泛 使 用 的 安全 套 接 层 协议 (Secure Socket Layer,SSL) 就 使 用 了 HMAC 算法 。 

HMAC 的 思想 是 继续 利用 现 有 的 消息 摘要 算法 而 没有 必要 重新 开发 一 个 新 算法 。 
HMAC 用 共享 的 密 钥 加 密 消 息 摘要 ,从 而 输出 MAC。 同 MD5、SHA-1 一 样 ,HMAC 也 是 
一 个 分 块 算法 ,每 块 长 通常 为 512 位 。 

下 面 详细 说 明 HMAC 的 7 步 操作 过 程 。 

1) 密 钥 变 换 

密 钥 变 换 的 目的 是 使 密 钥 & 的 长 度 和 消息 块 的 长 度 1 相等 。 如 果 k=1, 那 么 在 k 的 左 
端 添 加 0, 使 得 & 和 7/ 的 总 长 度 相等 ; 车 一 1, 则 通过 相应 的 消息 摘要 算法 得 到 密 钥 k', 然 后 
使 得 & 和/ 的 长 度 相等 。 

2) 异 或 

将 第 一 步 的 输出 作为 输入 ,与 ipad 异 或 得 到 输出 S; 。 其 中 ipad 是 十 六 进 制 字符 串 
36 的 重复 , 即 ipad 二 0x363636… ,其 长 度 与 1 的 长 度 相 等 。 

3) 消息 级 联 

将 Si 与 原 消息 M 级 联 ,Si 在 前 ,M 在 后 。 

4) 计算 消息 摘要 

采用 一 定 的 消息 摘要 算法 ,如 MD5 或 SHA-1, 计 算 上 一 步 输出 的 消息 摘要 昌 。 

5) 异 或 

将 第 一 步 的 输出 作为 输入 ,与 opad 异 或 得 到 输出 S,。 其 中 opad 是 十 六 进 制 数 5A 
的 重复 , 即 opad 二 0x5A5A5A…, 其 长 度 与 /的 长 度 相 等 。 


6) 消息 级 联 
将 S; 与 第 四 步 计算 出 来 的 消息 摘要 互 级 联 ,S; 在 前 ,五 在 后 。 
7) 输出 最 终结 果 


对 步骤 6) 的 输出 采用 相应 的 消息 摘要 算法 ,得 到 最 终 的 输出 结 
HMALC 的 完整 过 程 如 图 3-12 所 示 。 


65 
第 3 章 0 


ipad 
密 钥 k | ~| 密 钥 变 下 
ss | + | w 
= 
opad 由 
1 消息 拉 MD5.SHA-_1… 
-中 2 ) 
5, 这 万 
一 


消息 摘要 算法 (MD5,SHA-1,…) 


最 终 输 出 结果 


图 3-12 HMAC 完整 过 程 


3.3.3 身份 认证 的 概念 


身份 认证 的 目的 是 在 不 可 信 的 网 络 上 建立 通信 实体 之 间 的 信任 关系 。 在 网 络 安全 中 ， 
身份 认证 的 地 位 非常 重要 , 它 是 最 基本 的 安全 服务 之 一 ,也 是 信息 安全 的 第 一 道 防线 。 在 具 
有 安全 机 制 的 系统 中 ,任何 一 个 想 要 访问 系统 资源 的 人 都 必须 首先 向 系统 证 实 自 己 的 合法 
身份 ,然后 才能 得 到 相应 的 权限 。 这 好 比 生活 中 我 们 要 进入 工作 大 楼 ,必须 首先 向 大 楼 保安 
人 员 出 示 工 作证 ,否则 将 会 被 拦截 在 外 。 

实际 网 络 攻击 中 ,黑客 往往 首先 瞄准 的 就 是 身份 认证 : 试图 通过 冒名 顶替 的 手段 来 获 
取 一 些 非法 财物 或 信息 。 这 类 似 于 生活 中 的 不 法 分 子 经 常 伪造 身份 证 来 获得 检查 人 员 的 
信任 。 

目前 ,计算 机 系统 采取 的 身份 认证 方法 有 很 多 ,比如 口令 认证 .智能卡 认 证 、 基 于 生物 特 
征 的 认证 、 双 因素 认证 .基于 源 地 址 的 认证 数字 证 书 和 安全 协议 等 。 

一 个 成 熟 的 身份 认证 系统 应 该 具有 以 下 特征 。 

(1) 验证 者 正确 识别 对 方 的 概率 极 大 。 

(2) 攻击 者 伪装 以 骗取 信任 的 成 功率 极 小 。 

(3) 通过 重 放 攻 击 进行 欺骗 和 伪装 的 成 功率 极 小 。 

(4) 实现 身份 认证 的 算法 计算 量 足够 小 。 

(5) 实现 身份 认证 所 需 的 通信 量 足 够 小 。 

(6) 秘密 参数 能 够 安全 存储 。 

(7) 对 可 信 第 三 方 的 无 条 件 信任 。 

(8) 可 证 明 安 全 性 。 

身份 认证 的 方法 有 以 下 几 种 。 
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1. 口令 的 认证 

基于 口令 的 认证 是 指 系统 通过 用 户 输入 的 用 户 名 和 密码 来 确立 用 户 身份 的 一 种 机 制 。 
基于 口令 的 身份 认证 是 最 常见 的 也 是 最 简单 的 一 种 身份 认证 机 制 ,例如 ,电子 邮箱 、 论 坛 账 
号 等 都 是 通过 口令 来 确认 对 方 的 身份 。 这 种 机 制 曾 经 发 挥 过 巨大 的 作用 ,但 是 随 着 时 间 的 
推移 ,在 企业 环境 中 基于 口令 的 认证 机 制 并 不 是 最 方便 最 有 效 的 。 主 要 原因 有 以 下 几 点 。 

首先 ,口令 要 多 复杂 ? 通常 ,用 户 创建 口令 时 总 是 选择 便于 记忆 的 简单 口令 ,比如 以 电 
话 号 码 、 生 日 ,门牌 号 等 作 口 令 。 但 这 样 一 来 别人 也 容易 猜 到 ; 若 选择 复杂 的 口令 , 则 用 户 
自己 也 可 能 忘记 。 这 个 矛盾 因素 严重 影响 到 口令 的 强度 和 验证 效率 。 

其 次 ,在 许多 场合 ,输入 的 口令 很 容易 泄漏 ,只 需 通过 键盘 上 的 手势 就 大 致 能 猜 出 来 。 
甚至 一 些 恶 意 程序 诸如 特洛伊 木马 程序 可 以 记录 用 户 输入 的 口令 ,然后 秘密 地 通过 网 络 发 

再 次 ,口令 传输 不 安全 。 一 旦 用 户 输 入 口令 后 ,如 何 传 送 给 系统 或 验证 服务 器 ? 很 多 口 
令 在 网 络 上 都 是 以 明文 形式 传输 ,比如 电子 邮箱 的 口令 。 一 旦 攻击 者 截获 该 口令 ,他 就 可 以 
肆 无 忌 习 地 对 用 户 的 邮箱 做 任何 事情 。 

最 后 ,口令 存储 也 不 安全 。 口 令 在 系统 中 是 怎样 被 存储 的 ? 在 过 去 许多 软件 工具 采用 
简单 的 加 密 存储 ,但 它们 一 般 采用 强度 不 高 的 加 密 或 允许 从 系统 外 获得 文件 。 一 些 简 单 的 
强行 破解 程序 很 容易 解密 。 许 多 口令 破解 程序 已 经 被 开发 出 来 。 在 这 些 软 件 的 帮助 下 ,可 
以 很 方便 地 破解 UNIX、Windows NT、Windows XP 的 用 户口 令 和 缓存 口令 。 其 他 一 些 程 
序 也 可 以 很 轻松 地 从 浏览 器 或 应 用 中 获取 口令 。 

为 了 提高 口令 的 安全 性 ,人 们 提出 了 口令 生命 周期 的 概念 ,用 以 强迫 用 户 经 常 更 换 口 
令 。 但 是 强度 不 高 的 口令 仍然 强度 不 高 ,而且 某 些 用 户 经 常 使 用 以 前 用 过 的 口令 。 也 有 些 
用 户 经 常 加 一 些 数字 到 同一 个 口令 之 前 或 之 后 。 

如 何 提高 口令 的 安全 性 呢 ? 专家 给 出 了 以 下 几 点 建议 : 提高 口令 长 度 ; 禁止 用 户 名 和 
其 他 可 能 的 选择 ; 强迫 用 户 经 常 更 换 口 令 ; 对 安全 系统 中 的 用 户 进行 培训 ; 审计 口令 更 换 
情况 和 用 户 的 登录 情况 ; 建立 定期 检查 审计 日 志 的 习惯 ; 在 用 户 NCN 值 是 系统 预先 设 定 
的 ) 次 登录 不 成 功 后 自动 锁定 账户 ; 不 允许 对 口令 文件 的 随便 访问 ; 限制 用 户 更 改 验 证 系 
统 的 方法 。 

值得 注意 的 是 ,即使 满足 了 以 上 所 有 的 要 求 , 这 种 努力 也 只 能 改进 口令 使 用 的 安全 期 长 
短 而 已 。 

既然 基于 口令 机 制 的 身份 认证 很 不 安全 ,那么 它 还 有 没有 存在 的 必要 呢 ? 答案 是 肯定 
的 。 主 要 有 以 下 两 方面 原因 。 首 先 ,口令 是 经 济 有 效 的 安全 机 制 之 一 , 同 指纹 认证 ,虹膜 认 
证 、 人 脸 认 证 等 基于 生物 特征 的 认证 机 制 相 比 ,口令 认证 机 制 具有 数据 量 小 。 速 度 快 等 优 
点 ; 其 次 ,口令 是 非常 简单 和 易于 使 用 的 ,大 多 用 户 都 能 接受 ,实施 起 来 简单 方便 。 

2. 智能 卡 认 证 

比 口令 认证 方式 稍微 安全 的 认证 方式 是 智能 卡 认 证 。 智 能 卡 (smart card) 是 当今 信用 
卡 领域 的 新 产品 。 所 谓 智能 卡 ,实际 上 就 是 在 信用 卡 上 安装 一 个 微型 电脑 芯片 ,这 个 芯片 包 
含 了 持 卡 人 的 各 种 信息 。 这 种 芯片 与 传统 的 磁 条 卡 相 比 ,不 易 伪 造 , 因 而 具有 更 高 的 防伪 能 
力 和 安全 性 。 自 20 世纪 70 年 代 末 ,智能卡 在 法 国 诞生 以 来 .各 国都 在 着 手 研制 智能 卡 。 目 
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前 ,智能 卡 已 经 广泛 地 应 用 于 银行 .电信 .交通 等 社会 的 各 个 方面 ,发 展 非常 迅速 。 

由 于 要 借助 物理 介质 ,智能 卡 认证 技术 是 较 安 全 可 靠 的 认证 手段 之 一 。 智 能 卡 一 般 分 
为 存储 卡 和 芯片 卡 。 存 储 卡 只 用 于 储存 用 户 的 秘密 信息 ,比如 用 户 的 密码 、 密 钥 ` 个 人 化 数 
据 等 ,存储 卡 本 身 没有 计算 功能 。 芯 片 卡 一 般 都 有 一 个 内 轩 的 征 处 理 器 ,并 有 相应 的 RAM 
和 可 擦 写 的 EPROM, 具 有 防臭 改 和 防止 非法 读 取 的 功能 。 芯 片 卡 不 仅 可 以 存储 秘密 信息 ， 
还 可 以 在 上 面 利用 秘密 信息 计算 动态 口令 。 智 能 卡 具有 广泛 的 应 用 ,常用 的 手机 SIM 卡 和 
新 一 代 的 身份 证 都 局 于 智能 卡 。 

类 似 于 智能 卡 , 还 有 一 些 其 他 的 物理 设备 可 以 用 来 实现 身份 认证 ,比如 射频 卡 等。 

口令 认证 实际 上 要 让 用 户 证 明 他 所 知道 的 内 容 ; 而 智能 卡 认证 则 要 让 用 户 证 明 他 所 拥 
有 的 设备 。 

3. 基于 生物 特征 的 认证 

近年 来 ,基于 生物 特征 的 认证 发 展 非常 迅速 。 在 很 多 企业 学校 已 经 在 使 用 基于 生物 特 
征 的 设备 来 负责 考勤 和 安全 ， 

人 体 有 很 多 特征 可 以 用 来 唯一 标识 一 个 个 体 ,比如 指纹 .人 脸 声音、 虹膜 等 。 基 于 这 些 
生物 特征 的 认证 机 制 各 有 优 缺 点 : 指纹 是 相对 稳定 的 ,但 采集 指纹 不 是 非 侵犯 性 ( 非 接触 
性 ) 的 。 人 脸 识别 具有 很 多 优点 ,如 主动 性 \ 非 侵犯 性 等 ,但 面部 特征 会 随 年 龄 变化 ,而 且 容 
易 被 伪装 。 语 音 特征 具有 与 面相 特征 相似 的 优点 ,但 也 会 随 年 龄 .健康 状况 及 环境 等 因素 而 
变化 ,而 且 语音 识别 系统 也 比较 容易 被 伪造 或 被 录音 所 欺骗 。 最 近 人 们 提出 的 虹膜 识别 大 
本 上 避免 了 所 有 上 述 问题 ,但 虹膜 识别 技术 不 太 成 熟 ,而 且 造 价 较 高 。 

虹膜 是 盘 状 的 薄膜 ,位 于 眼球 的 前 方 。 同 指纹 一 样 ,世界 上 不 存在 虹膜 完全 一 样 的 两 个 
人 。 即 便 是 同一 个 人 ,他 的 左 眼 和 右 眼 的 虹膜 也 是 不 一 样 的 。 

虹膜 认证 机 制 具有 很 多 优点 ,比如 可 靠 性 高 ,错误 接受 率 和 错误 拒绝 率 是 最 低 的; 虹膜 
在 眼 哺 的 内 部 ,用 外 科 手术 很 难 改 变 其 结构 由 于 瞳孔 随 光线 的 强 弱 变 化 , 想 用 伪造 的 虹膜 
代替 活 的 虹膜 是 不 可 能 的 。 此 外 ,虹膜 的 采集 也 具有 非 侵犯 性 ,很 容易 被 公众 接受 。 

虽然 虹膜 认证 具有 很 多 优点 ,但 虹膜 认证 行业 的 发 展 面临 着 两 个 巨大 障碍 : 技术 的 不 
成 熟 和 市 场 占有 率 不 高 。 虽 然 很 多 公司 都 在 开发 虹膜 识别 产品 ,但 虹膜 识别 产品 的 核心 技 
术 一 一 虹膜 识别 算法 和 图 像 采 集 设 备 , 还 未 被 国内 厂商 所 掌握 。 另 外 ,虹膜 认证 适合 于 高 安 
全 性 应 用 ,并 不 适合 低 端 用 户 。 

4. 双 因素 认证 

双 因 素 认证 是 对 传统 的 静态 口令 机 制 的 改进 ,并 得 到 了 专家 和 用 户 的 认可 ,而 且 已 有 许 
多 成 功 案例 。 

身份 认证 有 三 个 要 素 。 

01) 所 知道 的 内 容 , 需要 使 用 者 记忆 身份 认证 内 容 ,例如 密码 和 身份 证 号 等 。 

(2) 所 拥有 的 物品 : 使 用 者 拥有 的 特殊 认证 加 强 机 制 , 例 如 智能 卡 .射频 卡 .磁卡 等 物 
理 设备 。 

(3) 所 具备 的 特征 : 使 用 者 本 身 拥 有 的 唯一 特征 ,例如 指纹 .人 脸 声音、 虹膜 等 。 

单独 来 看 ,这 三 个 要 素 都 有 被 攻击 或 破坏 的 可 能 , 用 户 所 知道 的 内 容 可 能 被 别人 猜 出 
或 者 被 用 户 自己 忘记 ; 用户 所 拥有 的 物品 可 能 被 丢失 或 被 偷盗 : 用 户 所 具备 的 特征 是 最 为 
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安全 的 因素 ,但 是 实施 起 来 代价 昂贵 .一般 用 在 顶级 安全 需求 中 。 把 前 两 种 要 素 结合 起 来 的 
身份 认证 机 制 就 称 为 双 因素 认证 。 

自动 提 款 机 采取 的 认证 方式 就 是 双 因 素 认 证 : 使 用 者 必须 利用 银行 卡 , 再 输入 个 人 密 
码 才能 对 该 账户 资金 进行 操作 。 

相 比 静态 的 口令 认证 机 制 , 双 因素 认证 提高 了 认证 的 可 靠 性 ,降低 了 电子 商务 的 两 大 风 
险 : 来 自 外 部 非法 访问 者 的 身份 欺诈 和 来 自 内 部 的 网 络 侵 犯 。 双 因素 认证 比 静 态 口 令 认证 
增加 了 一 个 认证 要 素 。 攻 击 者 仅仅 获取 了 用 户口 令 或 者 仅仅 拿 到 了 用 户 的 令 牌 访问 设备 ， 
都 无 法 通过 系统 的 认证 。 因 此 ,这 种 方法 比 基 于 口令 的 认证 方法 具有 更 好 的 安全 性 ,在 一 定 
程度 上 解决 了 静态 口令 认证 机 制 所 面临 的 威胁 。 

双 因 素 动态 身份 认证 的 解决 方案 由 三 个 主要 部 件 组 成 : 简单 易 用 的 令 牌 .代理 软件 以 
及 功能 强大 的 管理 服务 器 。 

(1) 令 牌 : 令 牌 可 以 使 用 户 在 证 明 自 己 的 身份 后 获得 受 保护 资源 的 访问 权 。 令 牌 会 产 
生 一 个 随机 但 专用 于 某 个 用 户 的 “种 子 值 ”, 每 过 一 段 很 小 的 时 间 ,该 "种 子 值 ?就 会 自动 更 新 
一 次 ,其 数字 只 有 对 指定 用 户 在 特定 的 时 刻 有 效 ( 即 动态 口令 )。 综 合 利 用 用 户 的 密码 和 令 
牌 的 随机 “种 子 值 ”, 使 得 用 户 的 电子 身份 很 难 被 模仿 、 次 用 或 破坏 。 

(2) 代理 软件 : 代理 软件 在 终端 用 户 和 需要 受到 保护 的 网 络 资源 中 发 挥 作用 。 当 一 个 
用 户 想 要 访问 某 个 资源 时 ,代理 软件 会 将 请 求 发 送 到 管理 服务 器 端的 用 户 认证 引擎 。 

(3) 管理 服务 器 : 管理 服务 器 具有 集中 式 管理 能 力 。 当 管理 服务 器 收 到 一 个 请 求 时 ， 
使 用 与 用 户 令 牌 一 样 的 算法 和 种 子 值 来 验证 正确 的 令 牌 码 。 如 果 用 户 输 入 正确 ,就 赋予 用 
户 一 定 的 权限 ,否则 将 提醒 用 户 再 次 输入 。 

双 因 素 认 证 采用 了 动态 口令 技术 。 动 态 口 令 技术 有 两 种 解决 方案 : 同步 方式 和 异步 方 
式 。 同 步 方 式 中 ,在 服务 器 端 初始 化 客户 端 令 牌 时 ,就 对 令 牌 和 服务 器 端 软件 进行 密 钥 、 时 
钟 和 事件 计数 器 同步 ,然后 客户 端 令 牌 和 服务 器 端 软 件 基于 上 述 同 步 数据 分 别 进行 运算 得 
到 运算 结果 ; 用 户 欲 登录 系统 时 ,就 将 运算 结果 传送 给 认证 服务 器 。 由 服务 器 端 进行 比较 ， 
若 两 个 运算 值 一 致 , 则 表示 用 户 身份 合法 。 整 个 过 程 中 ,认证 服务 器 和 客户 端 令 牌 没有 交 
互 。 而 在 异步 过 程 中 ,认证 服务 器 需要 和 客户 端 令 牌 进行 交互 。 在 服务 器 端 对 客户 端 令 牌 
和 服务 器 端 软件 进行 了 密 钥 .时钟 和 事件 计数 器 同步 之 后 ,一 旦 用 户 要 登录 系统 ,认证 服务 
器 首先 向 用 户 发 送 一 个 随机 数 , 用 户 将 这 个 随机 数 输入 到 客户 端 令 牌 中 , 令 牌 返回 一 个 结 
果 ,然后 用 户 将 这 个 结果 返 送 给 认证 服务 器 ,认证 服务 器 将 这 个 值 与 自己 计算 得 出 的 值 进行 
比较 ,如 果 两 者 匹配 , 则 证 明 用 户 为 合法 用 户 ; 否则 拒绝 接收 该 用 户 的 操作 。 这 种 机 制 虽 然 
能 够 为 系统 提供 比 静 态 口令 更 高 强度 的 安全 保护 ,但 也 存在 如 下 缺点 。 

(1) 只 能 进行 单 向 认证 , 即 系统 可 以 认证 用 户 ,而 用 户 无 法 对 系统 进行 认证 。 这 就 使 得 
攻击 者 有 可 能 伪装 成 系统 骗取 用 户 的 信任 。 

(2) 不 能 对 要 传输 的 信息 进行 加 密 , 敏 感 的 信息 可 能 会 泄密 出 去 。 

(3) 不 能 保证 信息 的 完整 性 , 即 不 能 保证 信息 在 传输 过 程 中 没有 被 修改 。 

(4) 不 支持 用 户 方 和 服务 器 方 的 双方 抗 抵赖 。 

(5) 代价 比较 大 ,通常 需要 在 客户 端 和 服务 器 端 增加 相应 的 硬件 设备 。 

(6) 存在 单 点 失效 ,一 旦 认证 服务 器 出 问题 ,整个 系统 就 不 可 用 。 

由 此 可 见 , 无 论 是 静态 的 口令 认证 机 制 还 是 动态 的 双 因 素 认证 机 制 ,都 不 能 提供 足够 的 
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安全 性 。 

5. 源 地 址 认证 

基于 源 地 址 的 认证 实现 最 简单 ,但 安全 性 也 最 差 。 它 通过 鉴别 对 方 的 地 址 来 判定 对 方 
的 身份 。 目 前 很 多 安全 产品 都 有 源 地 址 认证 功能 ,比如 防火 墙 。 安 全 管理 人 员 可 以 通过 配 
置 文件 来 限制 一 定 的 访问 。 但 对 于 黑客 来 说 ,只 需要 简单 地 通过 伪造 数据 包 的 方式 就 可 攻 
破 源 地 址 认证 机 制 。 

6. 基于 PAP 的 认证 

用 于 点 对 点 (Point-Point Protocol, PPP) 的 身份 认证 协议 ,例如 通过 ADSL(Asymmetric 
Digital Subscriber Line, 非 对 称 数字 用 户 环 路 ) 拨 号 上 网 时 进行 的 身份 认证 就 是 基于 PAP 
(Password Authentication Protocol) 的 。 由 于 PAP 采取 明文 口令 传输 ,因此 ,黑客 可 以 简 
单 地 用 Sniffer、Ethereal 等 嗅 探 工具 获得 用 户 的 用 户 名 和 密码 。 

7. 基于 CHAP 的 认证 

大 多 数 身份 认证 协议 都 属于 CHAP(Challenge Handshake Authentication Protocol， 
PPP 询问 握手 认证 协议 )。 这 种 协议 不 在 网 络 上 传送 任何 口令 信息 ,因此 , 相 比 PAP, 这 种 
身份 认证 协议 要 安全 得 多 。 

3.3.4 身份 认证 协议 

1, 双向 身份 认证 协议 

双向 身份 认证 协议 需要 消息 的 发 送 方 和 接收 方 同时 在 线 , 而 单 向 认证 则 没有 这 样 的 要 
求 。 在 重要 的 商务 活动 中 ,通信 双方 在 通信 之 前 要 相互 确认 对 方 的 真实 身份 ,并 且 和 希望 他 们 
之 间 的 通信 不 会 被 第 三 者 阅读 。 

无 论 是 单 向 认证 还 是 双向 认证 ,都 可 以 分 为 基于 对 称 密 钥 加密 和 非 对 称 密 钥 加 密 两 种 
情况 。 下 面 就 这 两 种 认证 方式 分 别 介绍 相应 的 协议 。 在 介绍 协议 之 前 , 先 和 弄 清 几 个 概念 和 
一 些 常 用 记号 ,对 理解 协议 过 程 是 很 有 帮助 的 。 

时 间 戳 (Timestamp) : 在 电子 商务 中 ,时 间 是 十 分 重要 的 信息 。 和 普通 文件 一 样 ,在 网 
络 上 传输 的 电子 商务 信息 的 日 期 是 十 分 重要 的 , 它 是 防止 文件 被 伪造 、 自 改 、 防 抵赖 的 关键 
性 内 容 。 时 间 截 是 经 加 密 后 形成 的 凭证 文档 。 它 包括 三 个 部 分 : 需 加 时 间 惟 的 文件 的 摘要 
(Digest) ,数字 时 间 服 务 (Digital Timestamp Service,DTS) 、 收 到 文件 的 日 期 和 时 间 、DTS 
的 数字 签名 。 使 用 时 间 戳 的 各 方 的 系统 时 钟 应 该 是 同步 的 。 

随机 数 : 计算 机 利用 一 定 的 算法 产生 的 数值 。 严 格 地 说 ,计算 机 产生 的 随机 数 应 该 称 
为 “ 伪 随 机 数 ”, 因 为 这 个 数 不 是 真正 随机 的 。 为 了 叙述 方便 ,一 般 都 将 * 伪 ? 字 去 掉 。 

序列 号 : 序列 号 是 一 个 随机 数值 ,通信 双方 协商 各 自 的 序列 号 初始 值 。 一 个 新 消息 当 
且 仅 当 它 有 正确 的 序列 号 时 才 被 接收 。 但 序列 号 的 方法 不 适合 在 身份 认证 协议 中 使 用 。 因 
为 它 要 求 每 个 用 户 要 单独 记录 与 其 他 每 一 用 户 交换 的 消息 的 序列 号 ,这 样 增加 了 用 户 的 
负担 。 

挑战 -应 答 (Challenge-Answer): 假设 Alice 向 Bob 发 送 了 一 个 一 次 性 随机 数 询问 ,Bob 
的 回答 中 应 该 包含 正确 的 随机 数 。 该 机 制 称 为 挑战 -应 答 机 制 。 

在 以 下 章节 中 ,我 们 将 采用 以 下 统一 的 符号 。 
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Kw: 通信 实体 A 和 通信 实体 B 共享 的 对 称 密 钥 。 

Kn: 可 信 第 三 方 (服务 器 ) 的 私 钥 。 

Kbw: 可 信 第 三 方 (服务 器 ) 的 公 钥 。 

A 一 B: 通信 实体 A 向 通信 实体 B 传送 消息 。 

{M);: 用 密 钥 加 密 信 息 M 。 

本 章 介绍 的 认证 协议 都 是 经 典 的 认证 协议 。 这 些 认证 协议 曾经 在 网 络 安 全 中 发 挥 过 巨 
大 作用 ,但 都 相继 被 发 现存 在 着 一 定 的 缺陷 。 现 在 这 些 协 议 都 已 经 不 再 使 用 ,但 它们 仍然 是 
检验 新 的 协议 设计 和 分 析 方 法 的 有 效 工 具 。 实 际 网 络 中 使 用 的 安全 协议 很 多 都 是 下 述 协议 
的 改进 版 。 为 了 便于 读者 理解 安全 协议 的 设计 ,我 们 首先 从 这 些 最 简单 的 协议 开始 介绍 。 

1) 基于 对 称 密码 的 双向 认证 协议 

基于 对 称 密码 的 双向 认证 协议 有 如 下 几 种 。 

(1) NS 协议 。NS 协议 最 初 由 Needham 和 Schroeder 于 1978 年 提出 。NS 协议 在 安 
全 协议 的 发 展 中 起 到 了 非常 重要 的 作用 。NS 协议 分 为 基于 对 称 密码 (NSSK) 和 非 对 称 密 
码 (NSPK) 两 种 版 本 。 在 这 里 将 要 论述 的 是 基于 对 称 密码 的 NS 协议 。 

© A—T: A,B,N, 

©® T=>A: {N,,B,Kw, {Kw A}r, }x 

©®@ A>B: {Ks ,A}xr, 

@ BA: {Ne}x, 

© A>B: {Ns +1}xr, 

NS 协议 的 目的 是 在 通信 双方 之 间 分 配 会 话 密 钥 。 参 加 NS 协议 的 主体 有 三 个 : 通信 
双方 A 和 B, 以 及 可 信 第 三 方 工 。 

在 协议 的 第 一 步 ,A 向 了 发 送 消息 ,指明 通信 双方 的 身份 A.B 和 一 个 随机 数 N,。 

第 二 步 , 工 生成 A 和 也 之 间 的 会 话 密 钥 KK, 并 向 A 发送 N,、B 和 K,,。 用 B 和 全 之 间 
的 共享 密 钥 Ku 加密 证 书 {Kw,A)x, ,该 证 书 只 能 由 B 解密 。 最 后 用 工 和 A 之 间 的 共享 密 
钥 K,. 加 密 整 个 消息 。 

第 三 步 ,A 收 到 发 送 的 消息 之 后 ,解密 整个 消息 得 到 A、B 之 间 的 共享 密 钥 K,, 和 证 
书 {Kw,,A}r,。A 原封 不 动 地 向 B 转发 这 个 证 书 。 

第 四 步 ,B 解密 这 个 证 书 得 到 共享 密 钥 K,, 并 用 它 加 密 随 机 数 N ,然后 发 送 给 A。 

第 五 步 ,A 收 到 消息 后 解密 得 到 Ns ,向 B 做 出 应 答 {Ns 十 1}x, 。 由 于 只 有 A、B、T 三 者 
知道 Ne 和 K,,, 所 以 其 他 任何 人 都 很 难 冒充 其 中 的 一 方 。 

NS 协议 整个 过 程 如 图 3-13 所 示 。 

可 以 看 到 ,在 NS 协议 中 使 用 了 随机 数 。 随 机 数 在 认证 协议 
设计 与 分 析 中 具有 重要 作用 : 它 可 以 用 来 保证 消息 的 新 鲜 性 , 防 
止 消 息 重 放 攻 击 2。 时 间 戳 也 可 以 用 于 抵御 重 放 攻击 ,但 二 者 之 
间 还 是 有 区 别 的 。 使 用 时 间 惟 时 ,一般 要 求 各 主体 的 时 钟 同步 ， 
但 时 间 戳 并 不 和 某 个 主体 直接 关联 ,任何 一 个 主体 产生 的 时 间 


图 3-13 NS 协议 过 程 示意 


@ 重 放 攻击 : 攻击 者 复制 或 伪造 诚实 用 户 所 期 望 的 消息 格式 并 重 放 , 达 到 破坏 协议 安全 的 目的 。 重 放 攻击 是 很 严 
重 的 一 种 攻击 ,很 多 攻击 形式 都 是 基于 此 类 攻击 而 实施 的 。 
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鹤 都 能 被 其 他 主体 用 来 检验 消息 的 新 鲜 性 。 随 机 数 则 是 由 某 个 主体 产生 的 随机 数值 ,一 个 
主体 只 能 根据 它 自 己 所 产生 的 临时 值 来 检验 消息 的 新 鲜 性 。 此 外 ,时 间 戳 不 具有 唯一 性 , 它 
通常 有 一 个 有 效 范围 ,只 要 它 位 于 这 个 有 效 范 围 内 ,主体 都 接受 它 的 新 鲜 性 。 而 临时 值 则 有 具 
有 唯一 性 ,任何 一 个 主体 在 两 次 会 话 中 产生 相同 的 临时 值 的 概率 是 非常 小 的 。 

(2) Otway-Rees 协议 。Otway-Rees(OR) 协 议 是 在 1987 年 提出 的 一 种 认证 协议 。 同 
NS 协议 一 样 ,OR 协议 其 目的 也 是 在 通信 双方 之 间 分 配 会 话 密 钥 , 它 需要 三 个 协议 参与 者 : 
通信 双方 和 认证 服务 器 。 

OR 协议 的 步骤 如 下 。 

©D A™>B: M,A,B,{N,,M,A,B}x, 

© B>T: M,A,B,{N,,M,A,B}xr,,{N,,M,A,B}x, 

©® T=>B: M,{N,, Kw}r, , {No, Ka}r, 

Q@ B>A: M,{N,, Ka}xr, 

协议 的 第 一 步 ,A 生成 M 和 随机 数 N,, 并 向 B 发 送 通信 主体 代号 A、B、M 以 及 服务 器 
需要 的 信息 。 

第 二 步 ,B 生成 随机 数 N,, 用 B 和 人 荆 之 间 的 共享 密 钥 加 密 之 后 连同 A 发 送 过 来 的 消 
息 , 原 封 不 动 地 传送 给 工 。 

第 三 步 ,T 解密 消息 ,验证 这 两 条 加 密 消息 中 的 M、A、B 是 否 一 致 。 如 果 一 致 , 则 工 生 
成 A 和 B 之 间 的 会 话 密 钥 K,, ,并 分 别 用 A 和 T 以 及 B 和 了 的 共享 密 钥 加 密 , 将 其 传送 
给 B。 

第 四 步 ,B 将 对 A 有 用 的 部 分 发 送 给 A。A 和 B 分 别 解密 相应 的 消息 ,检查 随机 数 的 
正确 性 。 如 果 无 误 , 则 A 和 了 可 以 应 用 密 钥 K,, 进 行 会话 。 

OR 协议 中 也 采用 了 随机 数 来 防止 重 放 攻击 。 

OR 协议 的 步骤 如 图 3-14 所 示 。 

(3) Yahalom 协议 。Yahalom 协议 是 在 1988 年 提出 的 另 CC 本 
外 一 个 经 典 的 认证 协议 。 它 同 NS 协议 和 OR 协议 一 样 ,需要 g@ @ 

三 个 协议 参与 者 : 通信 双方 和 认证 服务 器 。Yahalom 协议 的 ” (A 一 一 Ye) 
设计 目的 也 是 在 不 安全 的 信道 上 为 通信 双方 分 配 会 话 密 钥 。 

Yahalom 协议 的 步骤 如 下 。 图 3-14 OR 协议 过 程 示意 

© A—B: A,N。 

Q@ B>T: B,{A,N,,N,}x, 

四 T=>A: {B,Ka,N,, No}r, ,{A, Ka } xr, 

@ A—PB: {A,Ka}x, » {No}r, 

协议 的 第 一 步 ,A 向 B 发送 A 和 随机 数 N,。 

第 二 步 ,B 产生 随机 数 N, ,并 用 它 与 的 共享 密 钥 Ku 加 密 随 机 数 N,、N,。 

第 三 步 ,TT 解密 后 得 到 N, 和 Nu ,然后 生成 会 话 密 钥 K,, ,然后 用 A 与 工 的 共享 密 钥 加 
密 KK,,、N,、Ns; 用 B 与 工 的 共享 密 钥 加 密会 话 密 钥 K,, 并 发 送 给 A。 

第 四 步 ,A 解密 收 到 的 消息 可 以 得 到 会 话 密 钥 。 然 后 原封 不 动向 B 转发 {A, Ka}x, 和 
用 共享 密 钥 加 密 的 随机 数 Ni 。 

比较 以 上 三 个 协议 ,可 以 发 现 Yahalom 具有 一 个 特点 : A、B 都 需要 和 全 通信 ,而 NS 
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协议 和 OR 协议 只 需要 其 中 一 方 和 工 进 行 通 信 。 


© Yahalom 协议 的 步骤 如 图 3-15 所 示 。 
入 (4) 安全 RPC 协议 。 另 外 一 种 具有 代表 性 的 协议 是 
安全 RPC(Remote Procedure Call, 远 程 过 程 调用 ) 协 议 ， 


(He) 它 是 早期 的 认证 协议 ,与 上 述 三 个 协议 不 同 的 是 : 安全 
PRC 协议 只 包含 两 个 通信 主体 A 和 B。A 与 B 之 间 存 在 
图 3-15 Yahalom 协议 过 程 示意 ”着 一 个 旧 的 共享 会 话 密 钥 K,,。 该 协议 的 设计 目的 在 于 
A、B 之 间 协 商 一 个 新 的 会 话 密 钥 Ku 。 

安全 RPC 协议 的 步骤 如 下 。 

© A-~B: A,{N,}xr, 

© B>A: {N+1,Ni}r, 

Q@ A>B: {Nst1}r, 

@ B>A: {K NE。 

协议 的 第 一 步 ,A 生成 随机 数 N, 并 用 旧 的 共享 密 钥 Ksw 加 密 , 向 B 发 送 自己 的 身份 A 
和 已 加 密 的 消息 。 

第 二 步 ,B 收 到 A 的 消息 之 后 解密 得 到 N, ,然后 生成 随机 数 Nu ,并 用 旧 的 会 话 密 钥 
Ku 加 密 两 个 随机 数 并 发 送 给 A。 

第 三 步 ,A 收 到 B 的 消息 之 后 ,解密 得 到 Ne, 用 旧 的 会 话 密 钥 加 密 Ne 十 1 并 发 送 给 B。 

第 四 步 ,B 用 旧 会 话 密 钥 加 密 新 会 话 密 钥 Ku 和 序列 号 Ni。 

(5) 大 嘴 青 蛙 协 议 。 大 嘴 青 蛙 (Big Mouth Frog) 协 议 是 早期 最 简单 的 认证 协议 。 该 协 
议 仅 有 两 步 。 

©@ A=T: A,{T. DB, Koa} 

© T—B: {T.,A,Kuw}x, 

协议 的 第 一 步 ,A 首先 生成 A、B 之 间 的 会 话 密 钥 KK 和 时 间 戳 ,并 用 它 和 工 之 间 的 共 
享 密 钥 加 密 后 发 送 给 服务 器 。 © 

第 二 步 ,服务 器 解密 后 得 到 A、B 之 间 的 会 话 密 钥 
Kw ,然后 用 它 和 B 之 间 的 共享 密 钥 加 密 KK 和 时 间 戳 T， 
并 发 送 给 B。B 收 到 后 解密 就 可 以 得 到 会 话 密 钥 Kw 。 (A) (B) 

大 嘴 青 蛙 协 议 的 整个 步骤 如 图 3-16 所 示 。 

2) 基于 非 对 称 密码 的 双向 认证 协议 

基于 非 对 称 密码 的 NS 认证 协议 (NSPK) 是 NSSK 的 挛 生 兄弟 。 它 们 都 是 在 1978 年 发 
表 的 著名 认证 协议 。 

多 数 基 于 非 对 称 密码 的 认证 协议 的 设计 目的 都 是 使 通信 双方 安全 地 交换 共享 会 话 密 
钥 。 但 NSPK 认证 协议 的 目的 却 是 使 通信 双方 安全 地 交换 两 个 彼此 独立 的 秘密 。 同 NSSK 
认证 协议 一 样 ,NSPK 协议 的 参与 者 也 是 三 个 : 通信 主体 A、B 以 及 充当 可 信 第 三 方 的 服务 
器 工 。 

NSPK 协议 的 大 体 步 骤 如 下 。 

© A—>T: A,B 

© T™>A: {Ki,B}r, 


@ © 


图 3-16 大 嘴 青 蛙 协 议 过 程 示意 
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© A>B: {N,,A}x, 

@ B—>T. B,A 

© T-~B: {K,,A}r, 

© B=>A: {N,, No}x, 

©® A>B: {No}x, 

协议 的 第 一 步 ,A 向 工 发 送 通 信 主 体 名 称 A 和 B。 

第 二 步 ,T 向 A 发 送 用 它 的 秘密 密 钥 人 -加密 的 B 及 其 公开 密 钥 K,。 

第 三 步 ,A 用 工 的 公开 密 钥 解密 他 收 到 的 消息 2, 得 到 B 的 公开 密 钥 K;,, 并 向 B 发 送 用 
Ks 加 密 的 随机 数 N, 与 A。 

第 四 步 ,B 向 工 发送 通信 主体 名 称 A 和 B。 

第 五 步 ,T 向 B 发 送 用 它 的 秘密 密 钥 人 ss 加 密 的 A 及 其 公开 密 钥 KK,。 

第 六 步 ,B 用 T 工 的 公开 密 钥 解密 他 收 到 的 消息 5, 得 到 A 的 公开 密 钥 K, 并 向 A 发 送 用 
K, 加密 的 随机 数 N, 与 Ne 。 

第 七 步 ,A 向 B 发送 用 K 加 密 的 临时 值 Nw。 这 里 ,临时 值 N, 与 Ns 就 是 A 与 BB 希 望 
交换 的 秘密 。 

NSPK 协议 有 两 个 重要 作用 : 其 一 ,通过 消息 1,2.4 和 5 6 
的 交换 ,达到 A 与 B 相互 获得 对 方 公开 密 钥 的 目的 ; 其 二 , 通 
过 消息 3,6,7 的 交换 ,A 与 B 分 别 得 到 对 方 的 秘密 ,达到 交换 ” (三 二 二 ®38) 
秘密 N, 与 Ns 的 目的 。 . 

NSPK 协议 的 步骤 如 图 3-17 所 示 。 图 3-17 NSPK 协议 过 程 示意 

2. 单 向 身份 认证 协议 

单 向 认证 是 指 仅 由 通信 的 一 方 对 另 一 方 进行 身份 认证 。 
单 向 身份 认证 有 两 种 情况 : 发 送 方 对 接收 方 进行 认证 和 接收 方 对 发 送 方 进行 认证 。 单 向 身 
份 认证 不 需要 消息 的 发 送 方 和 接收 方 同时 在 线 。 很 多 应 用 程序 都 需要 采用 单 向 身份 认证 协 
议 , 比 如 电子 邮件 等 。 发 送 方 先 将 消息 发 往 接收 方 的 邮箱 ,接收 方 阅读 时 直接 从 邮箱 获取 消 
息 。 在 商务 活动 中 ,接收 方 在 阅读 前 需要 对 发 送 方 进行 身份 认证 。 例 如 , 甲 方 收 到 乙方 的 文 
件 后 总 要 先 确认 文件 是 否 真 正 由 乙方 发 出 。 好 比 生活 中 我 们 收 到 信件 后 ,总 要 先 检 验 信件 
的 署名 和 笔迹 。 

1) 基于 对 称 密码 的 单 向 认证 协议 

由 于 在 单 向 认证 协议 中 不 要 求 发 送 方 和 接收 方 同时 在 线 , 因 此 ,发 送 方 和 接收 方 之 间 就 
不 应 该 有 交互 过 程 。 对 基于 对 称 密码 的 双向 NS 协议 稍 作 改动 ,就 可 以 形成 基于 对 称 密码 
的 单 向 认证 协议 NS 。 

©@ A—T: A,B,N, 

© T>A: {KB,N,, {Ks ,A}r, jx 

©® A>B: (Ks,A}r, ,{M)x。 

协议 的 第 一 步 ,A 向 工 发 送 通信 实体 的 代号 A、B 和 一 个 随机 数 N,。 

第 二 步 ,T 首先 产生 A.、B 之 间 的 会 话 密 钥 K,, ,然后 用 和 B 之 间 的 共享 密 钥 产生 一 
个 证 书 {K。 ,A)x,, 。 该 证 书 只 能 由 B 解密。 然后 将 该 证 书 和 会 话 密 钥 Ks 以 及 其 他 信息 
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一 起 用 工 与 A 之 间 的 共享 密 钥 ,加密 后 发 送 给 A。 

第 三 步 ,A 解密 从 T 发 送 过 来 的 信息 ,得 到 密 钥 K,,。 用 
Ku 加 密 待 发 信息 M, 连 同 证 书 {K。 ,A}x, 一 起 发 送 给 B。 

当 B 收 到 这 两 条 消息 之 后 ,首先 解密 证 书 得 到 会 话 密 钥 
,然后 再 用 Ki 解密 消息 。 

该 协议 的 步骤 如 图 3-18 所 示 。 

2) 基于 非 对 称 密码 的 单 向 认证 协议 

非 对 称 密码 算法 具有 很 多 优点 , 它 既 能 用 于 加 密 数据 ,又 能 提供 认证 性 。 

基于 非 对 称 密码 的 单 向 认证 协议 实现 非常 简单 ,只 有 一 个 回合 。 

A™>B: {M, {HOM }x,,;» {T,A, Ks pa} r,s }rb so 

A 采用 一 定 的 消息 摘要 算法 ,计算 消息 的 摘要 电 (M) ,然后 用 自己 的 私 钥 对 该 消息 摘 
要 进行 签名 。A 再 将 原 消息 、 消 息 签 名 以 及 自己 的 证 书 一 起 用 B 的 公 钥 加 密 之 后 发 送 给 B。 

该 协议 是 接收 方 对 发 送 方 的 认证 ,同样 ,有 时 发 送 方 需要 对 接收 方 进 行 认证 。 

3. 零 知识 身份 认证 

关于 零 知 识 协议 ,Bruce Schneier 曾经 给 出 了 一 个 很 生动 的 故事 。 

Alice:“ 我 知道 联邦 储备 系统 计算 机 的 口令 、 汉 堡 包 秘密 调味 汁 的 成 分 以 及 Knuth 第 
四 卷 的 内 容 。” 

Bob:“ 不 ,你 不 知道 。” 

Alice:“ 我 知道 。” 

Bob:“ 你 不 知道 !” 

Alice:“ 我 确实 知道 1” 

Bob:“ 请 你 证 实 这 一 点 1” 

Alice:“ 好 吧 ,我 告诉 你 .”(Alice 悄悄 说 出 了 口令 。) 

Bob:“ 太 有 趣 了 ! 现在 我 也 知道 了 。 我 要 告诉 (华盛顿 邮 报 》1” 

Alice:“ 啊 呀 !” 

这 个 故事 说 明了 一 个 道理 ,通常 Alice 要 使 Bob 确信 她 知道 某 个 秘密 ,那么 她 需要 把 该 
秘密 告诉 Bob 以 得 到 证 实 。 但 这 样 一 来 ,Bob 也 知道 了 这 个 秘密 。Bob 可 以 将 这 个 秘密 告 
诉 给 任何 人 ,而 Alice 却 无 力 阻止 Bob 的 胡作非为 。 

但 零 知 识 协议 改变 了 这 种 状况 。 在 不 告诉 Bob 秘密 的 情况 下 , Alice 可 以 向 Bob 证 明 
她 确实 知道 某 个 秘密 。 

Jean Jacques Quisquater 和 Louis Guillou 用 一 个 关于 洞穴 
的 故事 来 解释 零 知 识 。 如 图 3-19 所 示 ,洞穴 中 有 一 道门 ,只 有 知 
道 咒 语 的 人 才 可 以 打开 这 道门 。 如 果 不 知道 咒语 , 门 两 边 的 通道 
都 是 死胡同 。 

Alice 要 向 Bob 证 明 她 知道 这 道门 的 咒语 ,而 她 又 不 愿意 将 
咒语 泄漏 给 Bob。 那 么 Alice 可 以 按照 以 下 步骤 来 使 Bob 相信 
她 确实 知道 这 道门 的 咒语 。 

(1) Bob 站 在 A 点 。 CE 

(2) Alice 一 直 走 进 洞穴 ,到达 C 点 或 者 D 点 。 图 3-19 零 知识 认证 


Ka 


s 


图 3-18 NS+ 协 议 步骤 示意 
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(3) 在 Alice 消失 在 洞穴 中 之 后 ,Bob 走 到 B 点 。 


(4) Bob 向 Alice 喊叫 ,要 她 : 从 左 通道 出 来 ,或 者 从 右 通 道 出 来 。 

(5) Alice 答应 了 。 如 果 有 必要 ,她 就 用 咒语 打开 门 。 

(6) Alice 和 Bob 重复 第 (1) 步 到 第 (5) 步 2 次 。 

这 个 协议 所 使 用 的 技术 称 为 分 割 选择 。 使 用 这 个 协议 ,Alice 可 以 向 Bob 证 明 她 确实 
知道 开启 门 的 咒语 。 原 因 在 于 : Alice 不 能 猜 出 每 一 次 Bob 要 她 从 哪 边 出 来 。 第 一 次 ， 
Alice 猜 中 的 概率 为 1/2 ,连续 两 次 猜 中 的 概率 为 /4…… 如 果 重 复 第 (1) 步 到 第 (5) 步 次 ， 
Alice 欺骗 成 功 的 概率 仅仅 为 1/2"。 因 此 ,经 过 很 多 次 试验 之 后 ,如 果 Alice 的 每 一 次 试验 
结果 都 是 正确 的 ,那么 Bob 完全 可 以 肯定 Alice 确实 知道 开启 门 的 咒语 。 

基本 的 零 知 识 协议 由 下 面 几 部 分 组 成 。 

(1) Alice 用 她 的 消息 和 一 个 随机 数 将 一 个 难题 转变 为 另 一 个 难题 ,新 的 难题 和 原来 的 
难题 同 构 。 然 后 她 用 她 的 信息 和 这 个 随机 数 解 这 个 新 的 难题 。 

(2) Alice 提交 这 个 新 的 难题 的 解法 。 

(3) Alice 向 Bob 透露 这 个 新 难题 。Bob 不 能 用 这 个 新 难题 得 到 关于 原 难 题 或 其 解法 
的 任何 信息 。 

(4) Bob 要 求 Alice: 向 他 证 明 新 旧 难 题 是 同 构 的 ,或 者 公开 她 在 第 (2) 步 中 提 到 的 解法 
并 证 明 是 新 难题 的 解法 。 

(5) Alice 同意 Bob 的 要 求 。 

Alice 和 Bob 重复 第 (1) 步 到 第 (5) 步 nn 次 。 

4. 身份 认证 的 实现 与 应 用 

1) RADIUS 

RADIUS (Remote Authentication Dial In User Service) 是 一 种 远程 身份 验证 拨 入 用 户 
服务 协议 。RADIUS 协议 最 初 是 由 Livingston 公司 提出 的 ,设计 RADIUS 的 初衷 是 为 拨号 
用 户 进行 认证 和 计 费 。 后 来 经 过 多 次 改进 ,形成 了 一 项 通用 的 认证 、. 计 费 . 授 权 协 议 。 
RADIUS 协议 是 完全 开放 的 ,任何 安全 系统 和 厂商 都 可 以 免费 使 用 它 的 公开 源 代码 。 
RADIUS 协议 应 用 范围 很 广 , 包 括 普通 电话 .上 网 业务 计 费 ,对 虚拟 专用 网 (Virtual Private 
Network,VPN) 的 支持 可 以 使 不 同 的 拨 入 服务 器 的 用 户 具 有 不 同 权 限 。 无 线 网 络 的 接 人 认 
证 也 采用 RADIUS 协议 。RADIUS 协议 已 经 被 广泛 实施 在 各 种 各 样 的 高 安全 级 别 的 网 络 
环境 中 。 

RFC 2865 和 RFC 2866 对 RADIUS 作 了 详细 的 描述 。RADIUS 能 够 提供 身份 验证 
(Authentication) ,授权 (Authorization) 和 记 账 (Account) 服 务 , 即 AAA 服务 。 

RFC 2865 和 RFC 2866 定义 了 以 下 RADIUS 消息 类 型 。 

(1) 访问 -请 求 (Access-Request): 由 RADIUS 客户 端 发 送 ,请求 对 连接 尝试 进行 身份 
验证 和 授权 。 

(2) 访问 -接收 (Access-Accept): 由 RADIUS 服务 器 发 送 ,以 响应 “访问 -请 求 ” 消 息 。 
此 消息 表明 RADIUS 服务 器 已 接受 客户 端的 连接 请 求 。 

(3) 访问 -拒绝 (Access-Reject):; 由 RADIUS 服务 器 发 送 ,以 响应 “访问 -请 求 ”消息 。 
此 消息 通知 RADIUS 客户 端 连接 尝试 被 拒绝 。 如 果 和 凭据 未 被 验证 或 连接 尝试 未 被 授权 ， 
RADIUS 服务 器 将 发 送 此 消息 。 
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(4) 访问 -质询 (Access-Challenge) : 由 RADIUS 服务 器 发 送 , 以 响应 “访问 -请 求 ”消息 。 
此 消息 是 对 需要 响应 的 RADIUS 客户 端的 质询 。 

(5) 记 账 -请 求 (Accounting-Request) : 由 RADIUS 客户 端 发 送 , 为 接受 的 连接 指定 记 
账 信息 。 

(6) 记 账 -响应 (Accounting-Response): 由 RADIUS 服务 器 发 送 ,以 响应 “ 记 账 -请 求 ” 
消息 。 此 消息 确认 对 记 账 请 求 消息 的 成 功 接受 和 处 理 。 

RADIUS 采 用 了 客户 /服务 器 模式 (C/S), 它 的 客户 端 最 初 就 是 网 络 接 入 服务 器 (Net 
Access Server,NAS) ,现在 任何 运行 RADIUS 客户 端 软件 的 计算 机 都 可 以 成 为 RADIUS 
的 客户 端 。RADIUS 协议 认证 机 制 很 灵活 ,可 以 采用 PAP、CHAP 或 者 UNIX 登录 认证 等 
多 种 方式 。RADIUS 的 认证 步骤 如 图 3-20 所 示 。 


G) 访问 请 求 
用 户 名 :xxxx 


CD PP 鉴别 请 求 密友 :@% 
4) 接 收 /拒绝 请 求 
0 提示 输入 用 户 和 品 人 轩 昌 一 外 


5 
远程 客户 NAS 国 访 癌 捧 碾 报 文 。 RADIUS 
服务 器 服务 器 


3-20 RADIUS 认证 步骤 


(1) 远程 客户 和 NAS 服务 器 建立 一 个 PPP 会 话 , 并 发 送 PPP 鉴别 请 求 。 

(2) 网 络 接 入 服务 器 提醒 用 户 输入 用 户 名 和 密码 。 用 户 输入 用 户 名 和 密码 后 发 送 给 NAS。 

(3) 网 络 接 入 服务 器 从 客户 端 接收 用 户 名 和 密码 ,并 把 此 信息 和 其 他 属性 放 在 一 个 
Access-Request 数据 包 中 发 送 到 RADIUS 安全 服务 端 。 在 发 送 数据 包 前 计算 用 户 密码 的 
Hash 值 ,用 户 名 以 明文 形式 发 送 ,密码 以 Hash 值 的 方式 传送 。 

(4) RADIUS 安全 服务 器 验证 客户 机 的 合法 性 ,并 对 用 户 进 行 鉴别 。 根 据 用 户 提 供 的 
用 户 名 和 密码 ,与 数据 库 中 的 用 户 名 和 和 密码 匹配 。 根 据 匹 配 结果 ,RADIUS 服务 器 返回 应 
答 报 文 。 应 答 报 文 是 下 列 报 文中 的 一 个 。 

Access-Accept: 如 果 结 果 不 匹配 ,远程 用 户 就 不 会 通过 认证 。 网 络 接 入 服务 器 提示 用 
户 重 新 输入 用 户 名 和 口令 ,如 果 连 续 匹 配 失败 ,该 用 户 将 被 拒绝 访问 。 

Access-Accept: 如 果 结 果 匹 配 , 远 程 用 户 会 通过 认证 。 

Access-Challenge: RADIUS 服务 器 发 出 此 响应 以 核实 用 户 的 身份 。 网 络 接 入 服务 器 
提示 用 户 输入 其 他 数据 并 把 数据 发 送 给 RADIUS 安全 服务 器 。 此 数据 包 可 定期 地 发 送 到 
网 络 接 和 服务 器 ,从 而 让 用 户 再 次 提交 用 户 名 和 口令 。 以 避免 用 户 一 次 登录 成 功 后 ,忘却 了 
关闭 会 话 , 从 而 导致 安全 隐患 。 

RADIUS 还 支持 代理 和 漫游 功能 。 所 谓 代理 ,就 是 一 台 服 务 器 , 它 负 责 转发 开启 
RADIUS 协议 的 计算 机 之 间 的 RADIUS 数据 包 。 所 谓 漫游 功能 ,是 代理 的 一 个 具体 实现 ， 
它 可 以 让 用 户 通过 和 其 无 关 的 RADIUS 服务 器 接 入 网 络 ,类 似 于 手机 漫游 ,在 上 海 注册 的 
手机 用 户 在 北京 同样 可 以 接听 或 拨打 电话 。 

以 上 讨论 的 是 RADIUS 协议 的 认证 功能 。 关 于 RADIUS 的 记 账 和 授权 功能 请 参见 相 
关 的 论述 。 
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Kerberos 这 个 名 称 来 源 于 希腊 神话 ,意思 是 “多 头 狗 ”, 它 守卫 着 地 狱 的 大 门 。 这 用 于 
比喻 网 络 安 全 中 的 认证 协议 简直 再 恰当 不 过 了 。Kerberos 认证 协议 是 由 MIT( 美 国 麻 省 理 
工学 院 ) 设 计 的 ,其 设计 目标 是 允许 客户 以 一 种 安全 的 方式 来 访问 网 络 资源 。 其 基础 是 NS 
协议 。Kerberos 与 NS 协议 不 同 之 处 在 于 : Kerberos 认为 所 有 的 时 钟 已 经 同步 好 了 。 
Kerberos 经 历 了 很 多 改版 ,其 当前 版 本 是 Kerberos v5, 但 是 大 多 数 应 用 仍然 是 基于 版 本 
4 的 。 

Kerberos 协议 不 同 于 先前 介绍 的 所 有 协议 , 它 有 四 个 参与 者 : 通信 主体 客户 A, 服 务 器 
B 以 及 认证 服务 器 (Authentication Server, AS) ,票据 服务 器 (Ticker Granting Server， 
TGS)。 认 证 服务 器 的 作用 是 对 登录 的 每 个 主体 进行 认证 ; 票据 服务 器 的 作用 在 于 向 网 络 
上 的 服务 器 证 明 客 户 的 真实 身份 。 

Kerberos 提供 了 一 种 主体 验证 与 标识 的 方法 。 假 设 客户 Alice 希望 同 服务 器 Bob 进行 
通信 ,利用 Kerberos 进行 认证 的 过 程 有 以 下 几 步 。 

(1) 客户 A 请 求 Kerberos 认证 服务 器 (AS) 发 给 接 人 Kerberos TGS 的 票据 。 

(2) 认证 服务 器 (AS) 在 其 数据 库 中 查找 与 客户 A 相对 应 的 信息 ,比如 实体 A 的 详细 
地 址 、A 与 AS 的 共享 密 钥 K,,; 然后 AS 产生 一 个 会 话 密 钥 KS, 用 客户 A 的 密 钥 K,, 所 导 
出 的 密 钥 K', 对 此 会 话 密 钥 KS 进行 加 密 ; 再 生成 一 个 票据 分 配 许可 证 (TicketrGranting 
Ticket,TGT) ,并 用 AS 与 TGS 的 共享 密 钥 人 .对 TGT 进行 加 密 。 许 可 证 包含 KKS .时间 玲 
等 信息 。 认 证 服务 器 (AS) 把 加 密 信息 发 送 给 客户 A。 

(3) 客户 A 利用 自己 的 密 钥 开导 出 密 钥 K', ,用 它 解密 就 可 以 得 到 会 话 密 钥 KS。 然 
后 ,客户 A 向 TGS 发 出 请 求 , 申 请 接 入 某 一 目标 服务 器 B 的 票据 。 此 请 求 包括 目标 服务 器 
名 称 B、TGT 以 及 用 KS 加 密 的 时 间 戳 等 信息 。 

(4) 票据 服务 器 (TGS) 用 它 与 认证 服务 器 (AS) 共 享 的 密 钥 K, 对 TGT 进行 解密 得 到 
KS。 然 后 TGS 产生 新 的 会 话 密 钥 K 供 客户 实体 A 与 目标 服务 器 B 使 用 。TGS 向 客户 
A 发 送 两 条 消息 : 第 一 条 消息 用 会 话 密 钥 KS 加 密 , 加 密 的 内 容 是 新 的 会 话 密 钥 K,, 和 目标 
服务 器 B 的 名 称 ; 第 二 条 消息 是 A 访问 服务 器 B 的 票据 ,该 票据 用 TGS 与 目标 服务 器 B 
的 共享 密 钥 Ku 加 密 , 票 据 内 容 包含 通信 主体 A 的 名 称 和 会 话 密 钥 K,,。 最 后 将 这 两 个 加 密 
信息 都 发 送 给 客户 A。 

(5) 客户 A 将 接收 到 的 第 一 个 报 文 用 KS 解密 后 ,获得 与 目标 服务 器 B 的 会 话 密 钥 
Kw。 这 时 ,客户 A 制作 一 个 新 的 认证 单 , 包 括 时 间 戳 .地 址 等 信息 ,并 用 获得 的 会 话 密 钥 
Kw 对 该 认证 单 进行 加 密 。 当 A 需要 访问 目标 服务 器 B 时 ,将 加 密 的 认证 单 和 从 TGS 收 到 
的 票据 Ticket 一 并 发 给 目标 服务 器 B。 

(6) 目标 服务 器 B 对 票据 和 认证 单 进行 解密 检查 ,如 果 一 切 检查 均 无 错误 ,服务 器 B 做 
出 响应 ,将 时 间 戳 加 1, 然 后 用 会 话 密 钥 ,加密 后 发 送 给 A, 以 便 让 A 确认 服务 器 B 已 经 
收 到 会 话 密 钥 K。。 

为 了 便于 理解 ,我们 去 掉 了 协议 中 的 一 些 非 关键 信息 ,并 且 将 以 上 过 程 用 形式 化 表示 
如 下 。 

© A—AS: A 

© AS>A: {KS}x.,{KS,T,}x, (TGT={KS,T.)) 
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® A 一 TGS: B,TGT,{T,}xs 

@ TGS>A: {B,Kw}xs, Ticket= {A, Kw} xr, 

回 A 一 B: Ticket, {T/}x, 

© B 一 A: {Tit 1}r, 

Kerberos 协议 认证 过 程 如 图 3-21 所 示 。 

Kerberos v5 比 v4 复杂 一 些 , 也 需要 更 多 的 开销 。 
在 Kerberos v5 中 ,票据 有 更 长 的 生存 期 ,允许 票据 被 重 
复 使 用 , 并且 也 允许 发 送 未 来 才 有 效 的 票据 。 关 于 
Kerberos v5 的 详细 介绍 ,读者 可 以 参阅 相关 书籍 。 


3.3.5 ”匿名 认证 图 3-21 Kerberos 协议 步骤 示意 


先 介绍 一 个 概念 ,个 人 信息 (私人 信息 ) , 指 能 够 对 个 人 进行 甄别 的 相关 信息 或 者 个 人 所 
有 与 其 自身 权利 相关 的 信息 ,如 姓名 、 性 别 、 出 生年 月 日 ,住址 .电话 号 码 、 职 业 、 收 入 情况 、 银 
行 账号 \、 信 用 卡号 码 等 。 这 些 信息 中 ,有 些 是 和 个 人 机 密 信息 相关 ,如 银行 账号 、 信 用 卡号 码 
等 ,有 些 则 是 和 个 人 隐私 相关 ,如 电话 通信 记录 购物 记录 就诊 病历 等 。 

传统 的 实名 认证 ,就 是 根据 某 些 个 人 信息 来 对 个 人 的 身份 进行 甄别 ,以 达到 认证 目的 ， 
也 就 是 所 谓 的 对 号 人 座 。 被 认证 对 象 的 个 人 信息 在 认证 过 程 中 被 认证 机 构 锁定 。 

个 人 信息 的 泄漏 以 及 针对 个 人 保密 信息 的 攻击 已 经 成 了 值得 重视 的 话题 。 信 用 卡 账号 
被 盗 , 个 人 银行 密码 被 攻破 ,这 类 严重 的 信息 泄露 自然 不 必 说 ,就 是 连 E-mail 地 址 泄漏 所 导 
致 的 垃圾 邮件 干扰 也 很 让 人 头疼 。 对 于 某 些 游戏 玩家 来 说 ,游戏 账号 被 盗 恐 怕 也 属于 极 具 
杀伤 力 的 网 络 安全 事件 。 这 类 事件 的 发 生 , 很 大 程度 上 是 因为 传统 的 认证 过 程 要 求 绑 定 个 
人 信息 ,使 个 人 信息 不 得 不 在 网 络 上 多 次 、 多 点 流动 ,从 而 增加 了 被 攻击 的 机 会 。 另 外 传统 
模式 下 多 种 个 人 信息 呈 聚 集 状 分 布 (如 通过 银行 账号 不 难 检索 出 交易 记录 ) ,一 旦 单 点 被 击 
破 就 很 容易 导致 多 种 个 人 信息 泄露 。 

由 于 个 人 信息 的 保护 日 益 受 到 重视 ,匿名 认证 技术 也 逐步 成 为 信息 安全 技术 的 一 个 热 
点 。 匿 名 认证 ,从 原理 上 可 以 简单 地 归结 为 将 认证 过 程 和 个 人 信息 相 分 离 。 按 照 分 离 的 手 
段 不 同 ,匿名 认证 可 以 有 多 种 实现 方式 。 

匿名 认证 技术 使 用 零 知 识 证 明 作 为 指导 思想 ,以 盲 签 名 作为 具体 的 签名 手段 ,达到 认证 
过 程 和 被 认证 对 象 的 个 人 信息 相 分 离 的 目的 。 目 前 主要 的 匿名 认证 体系 有 团 签名 (Cgroup 
signature) 方 案 和 匿名 令 牌 (anonymous token) 方 案 。 

1. 团 签 名 

在 传统 的 认证 方 - 被 认证 者 系统 中 ,增加 一 名 团 管理 者 (group manager) ,用 于 管理 被 认 
证 者 的 个 人 信息 。 被 认证 者 需要 加 入 团 , 获 取 用 于 签名 的 成 员 私 钥 , 认 证 方 获 取 成 员 公 钥 。 
认证 双方 根据 口令 消息 (challenge message) 和 钥 对 匹配 来 完成 认证 过 程 。 

团 签名 是 最 简单 的 一 种 匿名 认证 体系 , 它 只 是 在 传统 的 认证 体系 中 增加 了 一 名 团 管理 
者 角色 ,以 达到 认证 和 个 人 信息 相 分 离 的 目的 。 但 是 这 种 认证 体系 有 一 个 缺点 一 一 成 员 私 
钥 的 管理 问题 。 按 照 协 议 ,每 一 个 成 员 都 拥有 一 个 成 员 私 钥 , 而 这 些 私 钥 要 么 是 等 同 的 ,要 
么 是 具有 等 效 签名 能 力 的 ,否则 认证 方 无 法 根据 同一 公 钥 进行 认证 ,而 如 果 认 证 方 使 用 不 同 
的 公 钥 来 认证 不 同 的 对 象 , 也 就 基本 失去 了 匿名 认证 的 意义 。 无 区 别 的 成 员 私 钥 的 使 用 也 
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就 导致 了 无 区 别 的 权力 分 配 , 这 样 就 很 难 对 各 成 员 进行 细 化 的 资源 配置 管理 。 

2. 匿名 令 牌 

匿名 令 牌 方案 是 在 团 签名 方案 的 基础 上 做 了 一 些 改进 。 令 牌 管理 者 配 发 给 被 认证 者 的 
不 是 上 述 的 成 员 私 钥 , 而 是 结构 更 为 复杂 的 匿名 令 牌 。 匿 名 令 牌 ,简单 地 说 ,就 是 包含 成 员 
个 人 信息 的 部 分 片断 的 数据 结构 。 成 员 的 个 人 信息 的 另 一 部 分 片断 被 令 牌 管理 者 所 持 有 ， 
而 如 果 没 有 这 部 分 片断 信息 ,匿名 令 牌 中 的 成 员 个 人 信息 是 极 难 被 解读 的 。 

除 此 之 外 ,匿名 令 牌 本 身 是 一 次 一 乱 的 ,也 就 是 理论 上 即使 是 同一 个 成 员 , 每 次 认证 时 
使 用 的 令 牌 都 是 不 相同 的 。 匿 名 令 牌 能 够 做 到 这 一 点 ,是 因为 每 次 认证 完毕 后 认证 方 都 会 
对 匿名 令 牌 进行 刷新 ,而 刷新 的 过 程 通过 密 钥 交换 (key exchange) 协 议 来 完成 ,以 保证 密 钥 
本 身 不 会 在 网 络 上 被 窃取 。 


习题 3 


1. 计算 机 安全 四 大 原则 是 什么 ? 

2. 什么 是 机 密 性 ?什么 是 认证 性 ? 什么 是 完整 性 ? 什么 是 不 可 抵赖 ? 请 分 别 予 以 
阐述 。 

3. 什么 是 单 向 函数 ? 请 利用 你 所 学 过 的 数学 知识 ,寻找 一 个 函数 y= 了 f(z), 使 其 具有 
以 下 要 求 ， 

(1) z,y 之 间 是 一 一 对 应 的 ; 

(2) 已 知 xz, 计算 y 很 容易 ; 

(3) 已 知 ,计算 z 相对 比较 复杂 。 

4. 什么 是 消息 认证 ? 认证 的 内 容 包括 哪些 ? 

5. 消息 认证 的 方法 有 哪 两 种 ?请 曾 述 它们 之 间 的 区 别 。 

6. 什么 是 数字 签名 ? 有 哪些 比较 著名 的 数字 签名 的 算法 ? 

7. 请 用 图 表示 RSA 签名 算法 和 DSA 签名 算法 的 过 程 。 

8. 什么 是 多 重 数字 签名 ? 什么 是 不 可 抵赖 数字 签名 ? 什么 是 盲 签名 ? 请 举例 说 明 它 
们 分 别 用 于 什么 场合 。 

9. 什么 是 身份 认证 ? 为 什么 需要 身份 认证 ? 一 个 成 熟 的 身份 认证 系统 包含 哪些 特征 ? 

10. 身份 认证 的 方法 有 哪些 ? 

11. 如 何 保证 口令 安全 性 ? 

12. 什么 是 基于 智能 卡 的 身份 认证 ? 你 周围 有 采用 智能 卡 认 证 的 例子 吗 ? 

13. 请 曾 述 身份 认证 和 数字 签名 的 区 别 。 

14. 什么 是 零 知 识 认 证 ? 为 什么 需要 零 知 识 认 证 ? 

15. 什么 是 单 向 身份 认证 协议 ? 什么 是 双向 身份 认证 协议 ? 参照 3. 3.4 节 的 内 容 , 请 
设计 一 个 单 向 身份 认证 协议 和 双向 身份 认证 协议 。 

16. 什么 是 RADIUS? 请 描述 RADIUS 认证 的 步骤 。 

17. 什么 是 Kerberos? 请 描述 Kerberos 的 协议 步 又。 
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随 着 网 络 逐 渐 走 进 人 们 的 生活 ,电子 商务 .网 上 银行 等 新 兴 服 务 飞 速 发 
展 ,Internet 的 安全 性 也 因此 备 受 关注 。PKI 就 是 在 这 种 背景 下 诞生 的 一 种 
技术 。 那 么 ,什么 是 PKI 呢 ?PKI 是 Public Key Infrastructure 的 缩写 , 译 为 
公共 密 钥 基础 设施 。 

基础 设施 的 一 个 最 大 特点 就 是 普 适 性 。 它 在 一 个 大 的 环境 中 起 着 基本 
框架 的 作用 ,实现 应 用 支撑 的 功能 。 对 于 应 用 支撑 功能 , 举 个 例子 来 讲 ,电力 
基础 设施 就 是 一 个 应 用 支撑 。 通 过 电源 插座 ,电力 基础 设施 不 仅 可 以 让 现 有 
的 应 用 (比如 电灯 ) 正 常 工作 ,还 能 支持 新 的 应 用 ,如 微波 炉 、 计 算 机 ,而 这 些 
应 用 在 电力 基础 设施 设计 的 时 候 还 没有 出 现 。 如 果 我 们 要 使 用 电灯 、 计 算 机 
等 设备 ,只 需要 把 电灯 、 计 算 机 的 电源 插头 插 到 任何 一 个 插座 里 ,而 不 关心 发 
电厂 是 如 何 发 电 , 供 电厂 如 何 传输 电能 。PKI 在 网 络 信 息 空间 中 的 地 位 和 电 
力 基础 设施 在 生活 中 的 地 位 基本 相似 。PKI 通过 特定 的 接口 为 用 户 提供 安 
全 服务 ,包括 加 密 、 解 密 、 数 字 签 名 、 身 份 认证 等 。 从 用 户 的 观点 来 看 ,只 要 利 
用 该 接口 就 可 以 获得 这 些 服务 ,而 不 关心 如 何 加 解密 、 如 何 进 行 数字 签名 和 
身份 认证 。 

公开 密 钥 基础 设施 能 够 让 应 用 程序 增强 自己 的 数据 安全 ,以 及 与 其 他 数 
据 进行 交换 的 安全 。 使 用 PKI 就 像 将 电器 设备 的 插头 插入 墙 上 的 插座 中 一 
样 简单 。 作 为 基础 设施 ,PKI 同样 具有 以 下 特点 : 透明 性 、 易 用 性 、 可 扩展 性 、 
互 操作 性 、 多 用 人 性、 支持 多 平台 。 正 由 于 PKI 具有 这 些 特点 ,使 得 单个 应 用 程 
序 随时 可 以 从 PKI 得 到 安全 服务 ,增强 并 简化 登录 过 程 , 对 终端 用 户 透明 ,在 
整个 环境 中 提供 全 面 的 安全 。 


4.1 安全 基础 设施 的 概念 


PKI 技 术 以 非 对 称 密 钥 技术 为 基础 ,以 数字 证 书 为 媒介 ,将 个 人 、 公 司 等 
标识 信息 和 各 自 的 公 钥 绑 定 在 一 起 ,其 主要 目的 是 通过 自动 管理 密 钥 和 证 
书 ,为 用 户 建立 起 一 个 安全 .可 信 的 网 络 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 
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方便 地 使 用 数据 加 密 、 数 字 签名 技术 ,在 互联 网 上 验证 用 户 的 身份 ,从 而 保证 了 互联 网 上 所 
传输 的 信息 的 真实 性 、 完 整 性 ,机 密 性 和 不 可 否认 性 。PKI 是 目前 既 能 实现 用 户 身份 认证 ， 
又 能 保证 互联 网 上 所 传输 数据 安全 的 唯一 技术 。 

PKI 让 用 户 安心 地 从 事 其 商业 行为 而 不 必 将 大 部 分 精力 放 在 如 何 保护 数据 传输 的 安全 
性 上 。 例 如 ,用 户 可 以 在 互联 网 上 安全 地 发 送 电 子 邮 件 而 不 必 担 心 其 发 送 的 信息 被 攻击 者 
截获 并 阅读 。 

使 用 PKI 的 各 参与 方 都 信任 同一 个 认证 中 心 (Certificate Authority,CA), 由 该 CA 来 
负责 数字 证 书 的 签发 和 撤销 、 核 对 并 验证 各 参与 方 身份 的 真实 性 和 有 效 性 。 这 好 比 在 生活 
中 ,所 有 个 人 和 企业 都 信任 公安 机 关 , 由 公安 机 关 负 责 身份 证 的 签发 和 撤销 。 

数字 证 书 其实 就 是 一 个 经 认证 中 心 数字 签名 的 文件 ,该 文件 包含 证 书 拥有 者 的 基本 信 
息 及 其 公开 密 钥 。 最 简单 的 数字 证 书包 含 证 书 拥 有 者 的 名 称 ` 公 开 密 钥 以 及 认证 中 心 的 数 
字 签 名 。 一 般 情 况 下 证 书 中 还 包括 密 钥 的 有 效 生 存 时 间 、 认 证 中 心 的 名 称 .该 证 书 的 序列 号 
等 信息 。 数 字 证 书 的 格式 遵循 ITUT X. 509 国际 标准 。 

标准 的 X. 509 数字 证 书包 含 以 下 一 些 内 容 , 如 图 4-1 所 示 。 


E77 
号 示 (S) [只 有 版 本 1 城 加 
证 书信 息 a - 


这 个 证 书 的 目的 如 下 : 
。 确 保 软件 来 自 软件 发 行商 
。 保 护 软件 在 发 行 后 不 被 改动 
“允许 用 当前 时 间 签名 数据 
.3.6.1.4.1.311.21.47T 


61 09 71 a8 00 01 00 00 
ShalRSA 


NSH Content PCA, Micros, 

2005 年 2 月 25 日 2:03:13 
2010 年 2 月 25 日 2:13:13 

* 有 关 详细 信息 ， 请 参考 证 书 撕 发 机 构 的 说 明 , 四 主题 MSN Content Authenticat, 


颁发 给 : 。 MSN Content Authentication CA 


颁发 者 :HSH Content PCA 


有 效 起 始 日 期 2005-2-25 到 2010-2-25 


图 4-1 数字 证 书 格式 及 内 容 


(1) 证 书 的 版 本 信息 。 

(2) 证 书 的 序列 号 ,每 个 证 书 都 有 一 个 唯一 的 证 书 序列 号 。 

(3) 证 书 所 使 用 的 签名 算法 。 

(4) 证 书 的 发 行 机 构 名 称 , 命 名 规则 一 般 采 用 X. 500 格式 。 

(5) 证 书 的 有 效 期 ,现在 通用 的 证 书 一 般 采 用 UTC 时 间 格 式 , 它 的 计时 范围 为 1950 一 
2049 年 。 

(6) 证 书 拥 有 者 的 名 称 , 命 名 规则 一 般 采 用 X. 500 格式 。 

(7) 证 书 拥有 者 的 公开 密 钥 。 

(8) 证 书 颁发 者 对 证 书 的 签名 。 
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为 了 便于 理解 ,我 们 将 数字 证 书 和 实际 的 身份 证 做 一 个 类 比 。 数 字 证 书 和 身份 证 是 非 
常 相似 的 ,它们 有 很 多 共同 之 处 ,如 表 4-1 所 示 。 


表 4-1 数字 证 书 与 身份 证 的 相似 性 


项 目 数字 证 书 身 份 证 
拥有 者 机 构 /个 人 名 称 姓名 

版 本 号 通常 是 第 三 版 正在 推出 第 二 代 身 份 证 
序列 号 唯一 的 证 书 序列 号 唯一 的 身份 证 号 

签名 算法 RSA 或 其 他 签名 算法 盖 章 

颁发 者 XX 认证 中 心 XX 公安 局 

有 效 日 期 都 有 明确 的 有 效 期 限 

公开 密 钥 1024 或 2048 位 的 二 进 制 数 拥有 者 的 照片 


在 PKI 中 ,交易 双方 都 信任 签发 其 数字 证 书 的 认证 中 心 。 典 型 的 是 采用 数字 证 书 应 用 
软件 和 CA 信任 的 机 制 。 客 户 端的 应 用 软件 记录 了 根 证 书 列表 ,该 列表 包含 了 它 所 信任 CA 
根 证 书 。 当 用 户 需要 验证 一 个 数字 证 书 的 合法 性 时 ,由 数字 证 书 应 用 软件 首先 从 其 根 证 书 
列表 中 查找 签发 该 数字 证 书 的 CA 根 证 书 , 如 果 该 CA 根 证 书 存在 于 记录 的 根 证 书 列表 中 
并 验证 通过 后 ,那么 用 户 承认 此 站 点 具有 合法 身份 。 如 果 该 CA 根 证 书 不 在 CA 根 证 书 列 
表 中 ,应 用 软件 会 显示 警告 信息 并 询问 用 户 是 否 要 信任 这 个 陌生 的 认证 中 心 。 通 常 地 ,应 用 
软件 会 向 用 户 提供 三 种 选择 : 永久 信任 、 临 时 信任 或 不 信任 。 作 为 客户 来 说 ,他 们 可 以 灵活 
选择 信任 哪些 认证 中 心 ,而 信任 的 处 理工 作 通过 应 用 软件 来 完成 。 


4.1.1 PKI 系统 的 内 容 


一 个 典型 的 PKI 系 统 主要 包括 以 下 内 容 。 

(1) 认证 中 心 (CA)。 认 证 中 心 (CA) 是 证 书 的 签发 机 构 , 它 是 PKI 的 核心 ,是 PKI 应 用 
中 权威 的 .可 信任 的 ,公正 的 第 三 方 机 构 。 

CA 负责 管理 PKI 结构 下 的 所 有 用 户 ( 包 括 各 种 应 用 程序 ) 的 证 书 ,把 用 户 的 公 钥 和 用 
户 的 其 他 信息 捆绑 在 一 起 ,用 于 在 网 上 验证 用 户 的 身份 。CA 还 要 负责 用 户 证 书 的 证 书 注 
销 列表 登记 和 证 书 注销 列表 发 布 。 

(2) 证 书库 。 证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,是 一 种 公共 信息 库 , 提 
供给 公众 查询 。 通 常 ,将 存放 证 书 及 证 书 撤销 信息 的 服务 器 称 为 目录 服务 器 ,其 标准 格式 采 
用 X. 500 系列 。 

(3) 密 钥 备份 及 恢复 系统 。 对 用 户 的 解密 密 钥 进行 备份 , 当 丢 失 时 进行 恢复 。 密 钥 备 
份 及 恢复 都 应 该 由 CA 来 完成 。 要 注意 的 是 : 密 钥 备份 和 恢复 只 能 针对 解密 密 钥 ,签名 密 
钥 是 不 能 被 备份 或 恢复 的 ?。 

(4) 证 书 撤销 处 理 系统 。 由 于 某 种 原因 需要 作废 或 终止 使 用 证 书 , 将 通过 证 书 撤销 列 
表 (Certificate Revocation List,CRL) 来 实现 。 

(5) PKI 应 用 接口 系统 。 为 各 种 应 用 提供 安全 一致 \ 可 信任 的 方式 与 PKI 交互 ,确保 


@ 解密 密 钥 丢失 后 仍然 可 以 用 来 解密 历史 数据 ; 但 签名 密 钥 一 旦 丢失 就 不 能 再 用 于 签名 新 数据 ,因为 签名 有 时 间 
性 要 求 。 
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所 建立 起 来 的 网 络 环境 安全 可 靠 . 并 降低 管理 成 本 。 

PKI 提供 了 一 个 安全 平台 ,任何 机 构 都 可 以 采用 PKI 来 组 建 一 个 安全 的 网 络 环境 。 
PKI 包含 四 个 部 分 : X. 509 格式 的 证 书 和 证 书 注销 列表 、 认 证 中 心 /注册 中 心 操 作协 议 、 认 
证 中 心 管理 协议 以 及 认证 中 心 政策 制定 。 

一 个 典型 ,完整 有 效 的 PKI 应 用 系统 至 少 应 包括 以 下 部 分 。 

(1) 认证 中 心 (CA)。 

(2) X. 500 目录 服务 器 。X. 500 目录 服务 器 用 于 发 布 用 户 的 证 书 以 及 证 书 注销 列表 
(CRL) ,用 户 可 通过 标准 的 轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol， 
LDAP) 查 询 自 己 或 其 他 人 的 证 书 和 下 级 证 书 注销 列表 信息 。 

(3) 安全 WWW 服务 器 以 及 安全 通信 平台 。 通 过 安全 协议 (如 SSL .IPSec 协议 ) 来 保 
证 传输 的 数据 的 机 密 性 、 完 整 性 和 真实 性 。 

(4) 安全 应 用 系统 。 安 全 应 用 系统 是 指 各 行业 自主 开发 的 各 种 具体 应 用 系统 ,例如 银 
行 .电信 的 应 用 系统 等 。 

完整 的 PKI 包括 认证 政策 的 制定 ,包括 遵循 的 技术 标准 、 各 CA 之 间 的 上 下 级 或 同 级 
关系 、 安 全 策略 安全 程度 、 服 务 对 象 , 管 理 原 则 和 框架 、 认 证 规则 、 运 作 制 度 的 制定 、 所 涉及 
的 各 方法 律 关系 以 及 具体 技术 实现 。 


4.1.2 PKI 提供 的 服务 


PKI 是 一 种 基础 设施 ,因此 PKI 提供 的 服务 必须 具有 普 适 性 ,能 够 适用 于 多 种 环境 。 
PKI 引入 交互 机 制 和 可 管理 机 制 , 实 现 了 跨 平台 的 一 致 安全 性 。PKI 提供 的 安全 服务 主要 
包含 以 下 几 个 方面 。 

1. 安全 登录 

用 户 在 访问 网 络 资源 时 ,往往 会 被 要 求 登录 ,通常 是 通过 输入 用 户 名 和 密码 来 验证 用 户 
身份 的 合法 性 。 但 是 用 户 输入 的 密码 很 容易 被 攻击 者 窃听 或 者 遭受 重 放 攻 击 。 保 证 用 户 能 
够 安全 登录 正 是 PKI 提供 的 服务 之 一 。PKI 解决 了 使 用 口令 方式 时 存在 的 最 严重 的 一 个 
问题 : 避免 口令 在 不 可 信 的 网 络 中 传输 ,从 根本 上 消除 了 口令 被 监听 或 遭受 重 放 攻 击 的 
危险 。 

在 PKI 环境 中 ,基础 设施 可 以 将 成 功 登录 的 消息 安全 发 送 到 远程 的 一 个 或 多 个 应 用 程 
序 。 这 意味 着 用 户 一 次 登录 就 可 以 使 用 多 个 设备 .服务 器 或 其 他 应 用 程序 。 所 以 ,应 用 
PKI, 一 方面 减少 了 用 户 的 记忆 负担 一 一 只 需 记 忆 一 个 口令 ; 另 一 方面 ,减少 了 口令 在 网 络 
上 的 传输 次 数 , 有 效 地 降低 了 用 户 遭 受 口令 窃听 和 重 放 攻击 的 危险 。 

2. 对 终端 用 户 透 明 

如 前 所 述 ,用 户 只 需 通 过 特定 的 接口 使 用 PKI 提供 的 服务 .他们 并 不 需要 了 解 基础 设 
施 是 如 何 工 作 的 。 在 用 户 看 来 ,PKI 是 一 个 黑匣子 。 一 方面 ,用 户 使 用 PKI 时 并 不 需要 具 
备 专 业 的 安全 知识 ; 另 一 方面 ,用 户 的 错误 操作 不 应 该 对 黑匣子 造成 任何 危害 。 总 之 ,PKI 
对 终端 用 户 是 完全 透明 的 。 但 是 ,如 果 发 生 了 内 部 错误 ,基础 设施 应 该 马上 向 用 户 反 馈 错误 


信息 。 


本 
息 安 全 概论 


3. 全 面 的 安全 性 

PKI 在 整个 环境 中 实施 的 都 是 单一 的 、 可 信和 的 安全 技术 ,使 得 各 种 应 用 ,无 论 是 邮件 服 
务 器 文件 服务 器 还 是 防火 墙 等 软件 或 设备 ,都 以 一 种 统一 的 方式 来 使 用 PKI 提供 的 服务 。 
安全 基础 设施 是 使 系统 达到 全 面 安全 性 的 一 个 重要 机 制 ,保证 大 范围 的 应 用 系统 和 设备 采 
用 统一 的 使 用 方式 理解 和 处 理 密 钥 。 这 大 大 简化 了 终端 用 户 使 用 各 种 设备 和 应 用 程序 的 方 
式 , 也 简化 了 设备 和 应 用 程序 的 管理 工作 。 没 有 安全 基础 设施 ,几乎 不 可 能 提供 在 同一 水 平 
的 操作 一 致 性 。 通 过 使 用 PKI, 对 要 传输 的 数字 信息 进行 加 密 和 签名 ,保证 了 信息 传输 的 机 
密 性 \ 完 整 性 ,认证 性 和 不 可 抵赖 性 ,从 而 保证 了 信息 的 全 面 安 全 性 。 


4.2 PKI 体系 结构 


PKI 体系 是 由 多 种 认证 机 构 及 各 种 终端 实体 等 组 件 所 组 成 。 其 结构 模式 一 般 为 多 层次 
的 树 状 结构 。 组 成 PKI 的 各 种 实体 由 于 其 所 处 的 位 置 不 同 , 其 功能 各 异 。 

目前 ,在 PKI 体系 基础 上 建立 的 安全 证 书 体系 得 到 了 广大 用 户 、 商 家 、 银 行 、 企 业 及 政 
府 各 职能 部 门 的 普遍 关注 。 美 国 、 加 拿 大 等 国家 的 政府 机 构 , 都 提出 了 建立 国家 PKI 体系 
的 具体 实施 方案 。 我 国信 息 产 业 部 等 有 关 政 府 部 门 正在 制定 “中 国 认证 机 构 的 总 体 框架 ”， 
从 中 国 的 实际 国情 出 发 ,制定 国家 PKI 体系 结构 。 

PKI 体系 的 建立 首先 应 该 着 眼 于 用 户 使 用 证 书 及 相关 服务 的 全 面 性 和 便利 性 。 要 建立 
和 设计 一 个 PKI 体系 就 必须 保证 这 些 服务 功能 的 实现 : 用 户 身份 的 可 信 认 证 ,制定 完整 的 
证 书 管理 政策 ,建立 具有 高 可 信和 度 的 认证 中 心 (CA), 用 户 实体 属性 的 管理 ,用 户 身 份 隐私 保 
护 ,证书 撤销 列表 管理 。 认 证 中 心 (CA) 为 用 户 提供 证 书库 以 及 CRL 有 关 服 务 的 管理 、 安 全 
及 相应 的 法 规 确立 ,责任 的 划分 和 建立 完善 的 责任 政策 等 。 

一 个 典型 的 PKI 体系 结构 如 图 4-2 所 示 。 


PAA 


CA | … | cA, || cA | … | ca, 


I [EE [9 


4-2 PKI 体系 结构 


1. PAA 

PAA (Policy Approval Authority) 是 政策 批准 机 构 , 由 它 来 创建 整个 PKI 系统 的 方针 、 
政策 .批准 本 PAA 下 属 的 PCA 的 政策 ,为 下 属 PCA 签发 公 钥 证 书 ,建立 整个 PKI 体系 的 
安全 策略 ,并 具有 监控 各 PCA 行为 的 责任 。 其 具体 功能 是 : 

(1) 发 布 PAA 的 公 钥 证 书 。 

(2) 制定 本 体系 的 政策 和 操作 程序 。 
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(3) 制定 本 PKI 体系 中 建立 新 PCA 的 政策 和 操作 程序 。 

(4) 对 下 属 PCA 和 需要 定义 认证 的 其 他 根 证 书 进行 身份 认证 和 鉴别 。 

(5) 对 下 属 PCA 和 需要 定义 认证 的 其 他 根 证 书签 发 证 书 。 

(6) 发 布下 属 PCA 的 身份 及 位 置信 息 。 

(7) 接收 和 发 布下 级 PCA 的 政策 。 

(8) 定义 下 级 PCA 申请 证 书 作废 请 求 所 需 的 信息 。 

(9) 接收 和 认证 对 它 所 签发 的 证 书 的 作废 申请 请 求 。 

(10) 为 它 所 签发 的 证 书 产生 CRL 并 发 布 。 

(11) 保存 证 书 `.CRL、 审 计 信 息 和 PCA 政策 。 

(12) 发 布 它 所 签发 的 证 书 及 发 布 CRL。 

2. PCA 

PCA(Policy Certification Authority) 是 政策 认证 机 构 , 它 制定 本 PCA 的 具体 政策 ,可 
以 是 上 级 PAA 政策 的 扩充 或 细 化 ,但 不 能 与 之 相 背离 。 这 些 政策 可 能 包括 本 PCA 范围 内 
密 钥 的 产生 , 密 钥 的 长 度 .证 书 的 有 效 期 规定 及 CRL 的 处 理 等 。 并 为 下 属 CA 签发 公 钥 证 书 。 

它 的 具体 功能 是 : 

(1) 发 布 自己 的 身份 和 位 置信 息 。 

(2) 发 布 所 签发 的 下 属 CA 的 身份 和 位 置信 息 。 

(3) 公布 服务 对 象 。 

(4) 发 布 所 制定 的 安全 政策 和 证 书 处 理 有 关 程 序 : 密 钥 的 产生 和 模 长 ,对 PCA、CA、 
ORA(Online RA ,在 线 证 书 审查 机 构 ) 系 统 的 安全 控制 ,CRL 的 发 布 频率 ,审计 程序 。 

(5) 对 下 属 各 成 员 进 行 身份 认证 和 鉴别 。 

(6) 产生 和 管理 下 属 成 员 的 公 钥 。 

(7) 发 布 PAA 和 自己 的 证 书 到 下 属 成 员 。 

(8) 定义 证 书 作废 请 求生 效 所 需 的 信息 和 程序 。 

(9) 接收 和 认证 所 签发 的 证 书 的 作废 申请 请 求 。 

(10) 为 签发 的 证 书 产生 CRL。 

(11) 保存 证 书 .CRL、 审 计 信息 和 所 签发 的 政策 。 

(12) 发 布 签发 的 证 书 及 CRL。 

3 CA 


认证 中 心 (CA) 具 备 有 限 的 政策 制定 功能 。 按 照 上 级 PCA 制定 的 政策 ,担任 具体 的 用 
户 密 钥 对 的 生成 和 签发 .CRL 的 生成 及 发 布 职 能 。 其 具体 功能 是 : 

(1) 接收 /验证 用 户 数 字 证 书 的 申请 。 

(2) 确定 是 否 接 受用 户 数字 证 书 的 申请 一 一 证 书 的 审批 。 

(3) 向 申请 者 颁发 /拒绝 颁发 数字 证 书 一 一 证 书 的 发 放 。 

(4) 接收 /处 理 用 户 的 数字 证 书 更 新 请 求 一 一 证 书 的 更 新 。 

(5) 接收 用 户 数字 证 书 的 查询 ,撤销 。 

(6) 产生 和 发 布 证 书 注销 列表 (CRL)。 

(7) 数字 证 书 的 归档 。 
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(8) 密 钥 归档 。 

(9) 历史 数据 归档 。 

4. 在 线 证 书 审查 机 构 

在 线 证 书 审查 机 构 (Online RA,ORA) 进 行 证 书 申请 者 的 身份 认证 ,向 CA 提交 证 书 申 
请 ,验证 接收 CA 签发 的 证 书 ,并 将 证 书 发 放 给 申请 者 。 其 具体 功能 是 : 

(1) 对 用 户 进行 身份 审查 和 鉴别 。 

(2) 将 用 户 身份 信息 和 公 钥 以 数字 签名 的 方式 送 给 CA。 

(3) 接收 CA 返回 的 证 书 制作 确认 信息 或 制 好 的 证 书 。 

(4) 发 放 CA 证书.CA 的 上 级 证 书 ,以 及 发 放 用 户 证 书 。 

(5) 接收 证 书 作废 申请 ,验证 其 有 效 性 ,并 向 CA 发 送 该 申请 。 

5. 最 终 实体 

最 终 实 体 (End Entity, EE) 是 PKI 产品 或 服务 的 最 终 使 用 者 ,可 以 是 个 人 、 组 织 或 
设备 。 

PKI 体系 结构 的 组 织 方式 有 多 种 ,在 一 个 PKI 体系 结构 内 ,通常 采用 以 下 几 种 方式 。 

(1) COI(Community of Interest) 方 式 : 这 种 方式 将 成 员 按 其 日 常 职能 分 类 ,将 日 常 处 
理 中 通信 和 较 频 繁 的 成 员 划 分 到 一 个 CA 或 PCA 之 下 ,政策 的 制定 就 由 COI 组织 来 决定 。 

(2) 组 织 化 方式 : 将 PKI 体系 建立 在 现 有 的 政府 或 组 织 机 构 的 管理 基础 之 上 ,安全 政 
策 也 由 每 一 个 组 织 的 管理 机 构 来 制定 。 

(3) 担保 等 级 方式 : 基于 在 一 个 PKI 系统 中 ,成 员 的 工作 可 以 分 为 3 一 4 个 安全 级 别 成 
员 ,按照 相应 的 安全 级 别 来 组 织 , 而 安全 政策 的 制定 可 以 由 类 似 委员 会 的 机 构 来 完成 。 

以 上 这 些 方式 都 是 基于 两 点 来 考虑 : 由 哪个 机 构 来 设置 安全 政策 ; 在 安全 政策 下 ,用 
户 该 如 何 组 织 。 在 具体 实施 过 程 中 采取 哪 种 或 哪 几 种 方式 的 组 合 , 应 考虑 以 下 因素 : 

(1) 系统 可 靠 性 。 

(2) 系统 可 扩展 性 。 

(3) 系统 的 灵活 性 和 使 用 的 方便 性 。 

(4) CA 结构 的 可 信任 性 。 

(5) 与 其 他 系统 的 互 操作 性 。 

(6) 增加 成 员 的 开销 ,多 系统 模块 的 管理 结构 ,责任 划分 。 


4.3 PKI 的 组 成 


在 实际 应 用 中 ,PKI 是 一 整套 软件 、 硬 件 、 安 全 策略 的 集合 。 具 体 地 说 ,PKI 系 统 包 括 
PKI 策 略 、 软 硬件 系统 .认证 中 心 (CA) .注册 机 构 (RA) .证 书签 发 系统 和 PKI 应 用 等 几 个 
基本 部 分 ( 见 图 4-3) 。 

(1) PKI 策 略 。PKI 策略 是 一 个 包含 如 何在 实践 中 增强 和 支持 安全 策略 的 一 些 操作 过 
程 的 详细 文档 , 它 建 立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 密码 系统 
使 用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 级 别 
定义 安全 控制 的 级 别 。 一 般 情况 下 ,在 PKI 中 有 两 种 类 型 的 策略 : 一 是 证 书 策略 ,用 于 管理 
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图 4-3 PKI 的 组 成 


证 书 的 使 用 ,比如 ,可 以 确认 某 一 CA 是 在 Internet 上 的 公有 CA ,还 是 某 一 企业 内 部 的 私有 
CA; 另外 一 个 就 是 CPS(Certificate Practice Statement ,证 书 操作 声明 ) ,一 些 由 可 信 的 第 三 
方 (Trusted Third Part,TTP) 运 营 的 PKI 系 统 需要 CPS。PKI 策略 的 内 容 一 般 包括 认证 政 
策 的 制定 、 遵 循 的 技术 标准 、 各 CA 之 间 的 上 下 级 或 同 级 关系 、 安 全 策略 、. 安 全 程度 .服务 对 
象 管理 原则 和 框架 、 认 证 规则 、 运 作 制度 的 制定 、 所 涉及 的 各 方法 律 关 系 以 及 技术 的 实现 。 

(2) 软 硬 件 系统 。 软 硬件 系统 是 PKI 系统 运行 所 需 的 所 有 软 、 硬 件 的 集合 。 主 要 包括 
认证 服务 器 .目录 服务 器 .PKI 平 台 等 。 

(3) 认证 中 心 (CA)。 认 证 中 心 (CA) 是 PKI 的 信任 基础 ,负责 管理 密 钥 和 数字 证 书 的 
整个 生命 周期 。 在 PKI 体系 中 ,为 了 确保 用 户 的 身份 及 其 所 持 有 密 钥 的 正确 匹配 , 公 钥 系 
统 需要 一 个 可 信 的 第 三 方 充当 认证 中 心 ,来 确认 公 钥 拥有 者 的 真正 身份 ,签发 并 管理 用 户 的 
数字 证 书 。 认 证 中 心 保 证 数字 证 书 中 列 出 的 用 户 名 称 与 证 书 中 列 出 的 公开 密 钥 的 一 一 对 应 
关系 ,解决 了 公 钥 体系 中 公 钥 的 合法 性 问题 。 认 证 中 心 对 数字 证 书 的 数字 签名 操作 使 得 攻 
击 者 不 能 伪造 和 算 改 数字 证 书 。 认 证 中 心 (CA) 是 PKI 体系 的 核心 。 

(4) 注册 机 构 (RA)。 注 册 机 构 (RA) 是 PKI 信任 体系 的 重要 组 成 部 分 ,是 个 人 用 户 或 
团体 用 户 与 认证 中 心 (CA) 之 间 的 一 个 接口 ,是 认证 机 构 (CA) 信 任 范围 的 一 种 延伸 。 注 册 
机 构 (RA) 接 受用 户 的 注册 申请 ,获取 并 认证 用 户 的 身份 ,主要 完成 收集 用 户 信 息 和 确认 用 
户 身份 的 功能 。 注 册 机 构 (RA) 可 以 向 其 下 属 机 构 和 最 终 用 户 颁发 并 管理 用 户 的 证 书 。 因 
此 ,RA 可 以 设置 在 直接 面 对 客户 的 业务 部 门 ,如 银行 的 营业 部 等 。 当 然 , 对 于 一 个 规模 较 
小 的 PKI 应 用 系统 来 说 ,可 把 注册 管理 的 职能 交 由 认证 中 心 来 完成 ,而 不 设立 独立 运行 的 
RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ,只 是 将 其 作为 认证 中 心 的 一 项 功能 。PKI 国际 
标准 推荐 由 独立 的 RA 来 完成 注册 管理 的 任务 ,可 以 增强 应 用 系统 的 安全 。 

(5) 证 书签 发 系统 。 证 书签 发 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自己 ,或 是 通过 目 
录 服 务 器 。 目 录 服 务 器 可 以 是 一 个 组 织 中 现 有 的 ,也 可 以 是 PKI 方案 中 提供 的 。 

(6) PKI 应 用 。PKI 的 应 用 非常 广泛 ,包括 在 Web 服务 器 和 浏览 器 之 间 的 通信 、 电 子 
邮件 .电子 数据 交换 (Electronic Data Interchange,EDI) \ 在 Internet 上 的 信用 卡 交易 和 虚拟 
专用 网 (VPN) 等 。 

(7) PKI 应 用 接口 系统 。 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 (Application 
Programming Interface,API) ,以 便 各 种 应 用 都 能 够 以 安全 一致 ,可 信 的 方式 与 PKI 交互 ， 
确保 所 建立 起 来 的 网 络 环境 的 可 信 性 ,降低 管理 和 维护 的 成 本 。 
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4.3.1 认证 中 心 


既然 PKI 以 数字 证 书 为 媒介 ,那么 就 必然 要 有 一 个 可 信任 的 权威 机 构 来 产生 管理 、 存 
档 ` 发 放 、 撤 销 证 书 以 及 实现 这 些 功能 的 软 硬 件 、. 相 关 政 策 .操作 规范 ,并 为 PKI 体系 中 的 各 
成 员 提供 全 部 的 安全 服务 。 这 个 可 信任 的 权威 机 构 就 是 认证 中 心 (CA) 。 在 前 面 的 叙述 中 ， 
我 们 已 经 多 次 提 及 认证 中 心 (CA) 。 

为 保证 网 上 数字 信息 的 传输 安全 ,除了 在 通信 传输 中 采用 更 强 的 加 密 算 法 等 措施 之 外 ， 
必须 建立 一 种 信任 及 信任 验证 机 制 , 即 参加 电子 商务 的 各 方 必须 有 一 个 可 以 被 验证 的 标识 。 
这 就 是 数字 证 书 。 数 字 证 书 是 各 实体 ( 持 卡 人 /个 人 、 商 户 /人 企业、 网关/ 银行 等 ) 在 网 上 信息 
交流 及 商务 交易 活动 中 的 身份 证 明 。 数 字 证 书 具 有 唯一 性 , 它 将 实体 的 公开 密 钥 同 实 体 本 
身 联系 在 一 起 ,为 实现 这 一 目的 ,必须 使 数字 证 书 符合 X. 509 国际 标准 。 同 时 ,数字 证 书 的 
来 源 必 须 是 可 靠 的 ,这 就 意味 着 应 有 一 个 网 上 各 方 都 信任 的 机 构 ,专门 负责 数字 证 书 的 发 放 
和 管理 ,确保 网 上 信息 的 安全 。 这 个 机 构 就 是 CA 认证 机 构 , 各 级 CA 认证 机 构 共 同 组 成 了 
整个 电子 商务 的 信任 链 。 如 果 CA 机 构 不 安全 或 发 放 的 数字 证 书 不 具有 权威 性 .公正 性 和 
可 信赖 性 ,电子 商务 根本 无 从 谈 起 。 认 证 中 心 通过 自身 的 注册 审核 体系 ,检查 核实 进行 证 书 
申请 的 用 户 身份 和 各 项 相关 信息 ,保证 网 上 交易 的 用 户 属性 客观 真实 性 与 证 书 的 真实 性 一 
致 。 认 证 中 心 作为 权威 的 .可 信赖 的 公正 的 第 三 方 机 构 ,专门 负责 发 放 并 管理 所 有 参与 网 
上 交易 的 实体 所 需 的 数字 证 书 。 概 括 地 说 ,认证 中 心 的 功能 有 证 书 发 放 、. 证 书 更 新 .证 书 注 
销 和 证 书 验证 。 认 证 中 心 的 核心 功能 是 发 放 和 管理 数字 证 书 。 

CA 对 签发 的 证 书 要 定时 归档 ,以 备查 询 。 除 了 用 户 的 签名 密 钥 外 ,对 证 书 所 有 数据 信 
息 都 要 进行 归档 处 理 。CA 使 用 符合 X. 500 标准 的 目录 服务 器 系统 存储 证 书 和 证 书 注销 列 
表 。 目 录 和 数据 库 备 份 可 以 根据 组 织 机 构 的 安全 策略 执行 归档 。 数 据 库 还 保存 审计 和 安全 
记录 。 对 于 用 户 密 钥 对 ,CA 通过 专用 程序 自动 存储 和 管理 历史 密 钥 及 密 钥 备 份 。 

CA 的 数字 签名 保证 了 证 书 的 合法 性 和 权威 性 。 主 体 的 公 钥 有 两 种 产生 方式 。 一 是 用 
户 自己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 传 给 CA。 该 过 程 必须 保证 用 户 公 钥 的 可 验 
证 性 和 完整 性 。 二 是 CA 替 用 户 生 成 密 钥 对 ,然后 将 其 以 安全 的 方式 传送 给 用 户 。 该 过 程 
必须 确保 密 钥 的 机 密 性 ,完整 性 和 可 验证 性 ,该 方式 下 由 于 用 户 的 私 钥 为 CA 所 产生 , 故 对 
CA 的 可 信 性 有 更 高 的 要 求 。CA 必须 在 事后 销毁 用 户 的 私 钥 ,或 做 解密 密 钥 备份 。 

认证 中 心 主要 由 以 下 三 部 分 组 成 。 

(1) 注册 服务 器 : 通过 Web Server 建立 的 站 点 ,可 为 客户 提供 每 天 24 小 时 的 服务 。 因 
此 客户 可 在 自己 方便 的 时 候 在 网 上 提出 证 书 申请 和 填写 相应 的 证 书 申请 表 , 免 去 了 排队 等 
候 等 烦恼 。 

(2) 证 书 申请 受理 和 审核 机 构 : 负责 证 书 的 申请 和 审核 ,其 主要 功能 是 接受 客户 证 书 
申请 并 进行 审核 。 

(3) 认证 中 心服 务 器 : 是 数字 证 书生 成 、 发 放 的 运行 实体 ,同时 提供 发 放 证 书 的 管理 、 
证 书 注销 列表 (CRL) 的 生成 和 处 理 等 服务 。 


4.3.2 证 书签 发 


证 书 的 发 放 有 两 种 方式 : 离线 方式 发 放 和 在 线 发 放 。 所 谓 离 线 发 放 即 面对面 地 通过 人 
工 方式 发 放 , 特 别 是 企业 银行、 证券 等 安全 性 需求 很 高 的 证 书 , 最 好 是 采用 人 工 方式 面对面 
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地 发 放 ; 在 线 方式 发 放 是 通过 Internet 使 用 轻 量 级 目录 访问 协议 (LDAP) 在 目录 服务 器 上 
下 载 证 书 。 

1. 离线 方式 发 放 证 书 的 步骤 

离线 方式 发 放 证 书 的 步骤 如 下 : 

(1) 一 个 企业 级 用 户 证 书 的 申请 被 批准 注册 以 后 ,审核 授权 部 门 (Registry Authority， 
RA) 端 的 应 用 程序 初始 化 申请 者 信息 ,在 LDAP 目录 服务 器 中 添加 企业 证 书 申请 人 的 有 关 
信息 。 

(2) RA 将 申请 者 信息 初始 化 后 传 给 CA,CA 为 申请 者 产生 一 个 参照 号 和 一 个 认证 码 。 
参照 号 Ref. number 及 认证 码 Auth. code 在 PKI 中 有 时 也 称 做 userID 和 Password。 参 照 
号 是 一 次 性 密 钥 。RA 将 Ref. number 和 Auth. code 使 用 电子 邮件 或 打印 在 保密 信封 中 , 通 
过 可 靠 途径 传递 给 企业 高 级 证 书 的 申请 人 。 企 业 高 级 证 书 的 申请 人 输入 参照 号 及 认证 码 ， 
在 审查 机 构 处 面对面 地 领取 证 书 。 证 书 可 以 存 和 人 光盘、 软盘 或 者 IC 卡 等 存储 介质 。 

2. 在 线 方式 发 放 证 书 的 步骤 

在 线 方 式 发 放 证 书 的 步骤 如 下 : 

(1) 个 人 证 书 申请 者 将 个 人 信息 写 入 CA 的 申请 人 信息 数据 库 ,RA 端 即 可 接收 到 从 
CA 中 心 发 放 的 Ref. number 和 Auth. code, 并 在 屏幕 上 显示 的 参照 号 和 授权 打印 出 来 , 当 
面 提交 给 证 书 申请 人 。 

(2) 证 书 申请 人 回 到 自己 的 计算 机 上 ,登录 到 网 站 ,通过 浏览 器 安装 Root CA 证 书 ( 根 
CA 证 书 ) 。 

(3) 申请 人 在 网 页 上 按 提示 输入 参照 号 和 授权 码 , 验 证 通过 后 就 可 以 下 载 自己 的 证 书 。 


4.3.3 证 书 撤销 


由 于 某 些 原因 ,一 个 已 颁发 的 证 书 可 能 被 废止 。 大 体 上 证 书 被 废除 的 原因 有 如 下 几 点 。 

(1) 密 钥 泄漏 : 证 书 的 私 钥 泄 漏 或 被 破坏 。 

(2) 从 属 变更 : 某 些 关于 密 钥 的 信息 变更 ,如 机 构 从 属 变更 等 。 

(3) 终止 使 用 : 该 密 钥 对 已 不 再 用 于 原 用 途 , 或 者 证 书 的 有 效 期 已 到 。 

(4) CA 本 身 原因 : 由 于 CA 系统 私 钥 泄漏 ,在 更 新 自身 密 钥 和 证 书 的 同时 ,必须 用 新 
的 私 钥 重 新 签发 所 有 其 发 放 的 下 级 证 书 。 

(5) CA 有 理由 怀疑 证 书 细节 不 真实 \ 不 可 信 。 

(6) 证 书 持 有 者 没有 履行 其 职责 和 登记 人 协议 。 

(7) 证 书 持 有 者 死亡 .违反 电子 交易 规则 或 者 已 经 被 判定 犯罪 。 

在 证 书 的 有 效 期 内 ,由 于 以 上 原因 ,必须 废除 证 书 。 此 时 证 书 持 有 者 要 提出 证 书 废除 申 
请 。 注 册 管 理 中 心 一 旦 收 到 证 书 撤销 请 求 ,就 可 以 立即 执行 证 书 撤销 ,并 同时 通知 用 户 证 书 
已 被 撤销 。PKI(CA) 提 供 了 一 套 成 熟 、 易 用 和 基于 标准 的 证 书 撤销 系统 。 从 安全 角度 来 
说 ,每 次 使 用 证 书 的 时 候 , 系 统 都 要 检查 证 书 是 否 已 被 撤销 。 为 了 保证 执行 这 种 检查 ,证 书 
撤销 是 自动 进行 的 ,而 且 对 用 户 是 透明 的 。 这 种 自动 透明 的 检查 大 多 针对 企业 证 书 , 而 个 人 
证 书 则 需要 人 工 查 询 。 

根据 申请 人 的 协议 ,可 规定 申请 人 可 以 在 任何 时 间 以 任何 理由 对 其 拥有 的 证 书 提出 撤 
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销 。 撤 销 申 请 必须 先 向 CA 或 者 RA 提交 。 提 出 撤销 的 理由 一 般 有 证 书 持 有 人 的 密 钥 泄 
露 、 私 钥 介 质 和 公 钥 证 书 介 质 的 安全 受到 危害 。 

CA 撤销 证 书 首先 要 制定 撤销 程序 ; 证 书 持 有 者 通过 各 种 通信 手段 向 RA 提出 申请 ; 
再 由 RA 提交 给 CA。CA 暂时 留存 证 书 ,然后 撤销 使 证 书 失效 ; 提交 申请 与 最 后 确认 处 理 
要 规定 有 效 期 。 将 已 经 撤销 的 证 书 存 于 CRL 中 ,在 撤销 与 发 布 CRL 之 间 的 时 间 间 隔 要 有 
明确 规定 。 

CRL 格式 如 图 4-4 所 示 。 


版 本 号 | 签名 | 颁发 者 | 本 次 更 新 | 下 次 更 新 | 证 书 撤销 列表 | 扩展 域 


图 4-4 CRL 格式 


版 本 号 : 指出 CRL 的 版 本 号 。CRL 有 两 种 版 本 ,在 CRL vl 中 没有 定义 该 字段 ; 在 
CRL v2 中 ,该 字段 为 2。 

签名 : 该 字段 是 CRL 颁发 者 的 数字 签名 。 

颁发 者 : CRL 颁发 者 的 名 称 , 该 字段 不 能 为 空 。 

本 次 更 新 : 本 CRL 的 发 布 时 间 。 

下 次 更 新 : 该 字段 是 可 选项 ,表明 下 一 CRL 的 发 布 时 间 。 注 意 : 本 次 更 新 和 下 次 更 新 
这 两 个 字段 的 时 间 表 示 格 式 必须 一 样 。 

证 书 撤销 列表 : 该 字段 填写 每 个 证 书 对 应 一 个 唯一 的 标识 符 。 

扩展 域 : 在 X. 509 中 定义 了 四 个 可 选 扩展 项 。 这 四 个 扩展 项 分 别 是 : 理由 代码 一 一 证 
书 撤销 的 理由 ; 证 书 颁发 者 一 一 证 书 颁发 者 的 名 字 , 通 常用 于 间接 CRL 中 ; 控制 指示 代 
码 一 一 用 于 证 书 的 临时 冻结 ; 无 效 日 期 一 一 本 证 书 不 再 有 效 的 时 间 。 

发 布 CRL 一 般 有 两 种 方式 : 完全 CRL 和 增 量 CRL。 完 全 CRL 是 将 某 个 CA 域内 的 
所 有 撤销 信息 都 包括 在 一 个 CRL 中 。 完 全 CRL 对 某 些 CA 域 是 很 适合 的 ,特别 是 那些 终 
端 实体 数目 相对 很 少 的 域 。 但 有 时 候 完全 CRL 却 不 受 欢迎 ,主要 原因 在 于 以 下 两 点 。 

(1) 颁发 的 规模 性 。 撤 销 信息 必 须 在 已 颁发 证 书 的 整个 生命 期 里 存在 ,这 就 有 可 能 导 
致 在 某 些 域内 完全 CRL 的 发 布 变 得 非常 庞大 。 虽 然 对 于 普通 大 小 的 群体 这 不 是 问题 ,但 对 
于 很 大 的 域 来 说 这 就 成 为 致命 缺陷 。 

(2) 撤销 信息 的 及 时 性 。 随 着 CRL 大 小 的 增加 ,CRL 的 验证 周期 将 会 变 得 很 长 ,因为 
如 果 经 常 连续 地 下 载 新 的 、 很 大 的 CRL ,将 会 造成 网 络 性 能 急剧 下 降 。 

因此 ,完全 CRL 对 某 些 环境 并 不 适用 。 实 际 上 , 增 量 CRL 用 得 更 广泛 些 。 增 量 CRL 
是 在 已 存在 的 大 量 的 撤销 列表 之 外 ,新 增加 最 近 已 撤销 的 证 书 列表 。 此 列表 比 整 个 CRL 
要 小 。 

增 量 CRL 的 思想 是 只 产生 证 书 撤销 信息 的 增加 部 分 的 相关 信息 。 增 量 CRL 是 以 已 经 
颁发 的 撤销 信息 为 基础 的 ,这 个 已 经 颁发 的 撤销 信息 被 称 为 基本 CRL。 增 量 CRL 中 含有 
基本 CRL 未 包含 的 撤销 信息 。 当 然 , 有 了 增 量 CRL 并 不 意味 着 就 不 需要 完全 CRL。 实 际 
上 ,X. 509 标准 , 增 量 CRL 应 该 和 完全 CRL 联合 使 用 。 

例如 : 出 于 对 系统 性 能 的 考虑 ,一 个 企业 规定 完全 CRL 的 发 布 时 间 为 每 周一 次 ,而 企 
业内 的 安全 策略 又 规定 当 一 个 证 书 被 撤销 后 ,撤销 信息 必须 在 4 小 时 之 内 发 布 出 去 。 显 然 ， 
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这 两 个 规定 是 自 相 矛盾 的 。 解 决 的 办 法 就 是 每 周 颁发 一 次 完全 CRL, 而 平时 每 4 小 时 颁发 
一 次 增 量 CRL。 这 样 ,用 户 每 周 只 需 下 载 并 存储 一 次 完全 CRL, 而 相对 较 小 的 增 量 CRL 可 
以 根据 需要 随时 下 载 。 


4.4 信任 模 概 述 


信任 模型 主要 解决 如 下 问题 : 怎样 确定 一 个 实体 信任 的 证 书 ? 如何 建立 这 种 信任 机 
制 ? 在 什么 情况 下 能 够 限制 或 控制 这 种 信任 ? 

信任 模型 决定 了 在 网 络 上 采用 信任 的 形式 与 采用 该 形式 带 来 的 信任 风险 。 人 们 对 信任 
模型 的 研究 越 来 越 深入 ,信任 模型 也 被 赋予 了 新 的 内 容 。 

多 个 认证 机 构 之 间 的 信任 关系 必须 保证 PKI 用 户 不 必 也 不 能 信任 唯一 的 认证 中 心 
(CA)。 这 有 助 于 实现 扩展 ,管理 和 保护 , 即 要 确保 一 个 认证 机 构 签发 的 数字 证 书 能 够 被 另 
一 个 认证 机 构 所 信任 。 此 外 对 建立 的 这 种 信任 关系 还 必须 有 相关 的 控制 。 

目前 使 用 的 信任 模型 主要 有 四 种 ,分 别 是 严格 层次 模型 .分布 式 信任 模型 Web 模型 以 
及 以 用 户 为 中 心 的 信任 模型 。 


4.4.1 相关 概念 


在 介绍 四 种 信任 模型 之 前 ,首先 必须 了 解 一 些 相 关 概 念 ,例如 ,什么 是 信任 ?什么 是 信 
任 域 ? 

1. 信任 

X. 509 中 对 信任 的 定义 为 :“ 如 果 一 个 实体 A 假定 另 一 个 实体 B 会 严格 地 按照 A 的 期 
望 行动 , 则 称 A 信任 B。?” 这 里 的 实体 可 以 是 网 络 中 的 计算 机 、 服 务 器 .智能 终端 或 代理 等 。 
认证 中 心 (CA) 就 是 一 个 被 广泛 信任 的 实体 。 

2. 信任 域 

信任 域 和 环境 有 紧密 的 关系 。 通 常 , 人 们 只 信任 自己 周边 的 熟人 ,例如 ,家 庭 成 员 之 间 
相互 信任 ; 在 同一 个 办 公 室 工作 的 同事 会 相互 信任 …… 如 果 一 个 集体 中 的 所 有 个 体 都 遵循 
同样 的 规则 , 则 称 该 集体 在 单 信任 域 中 运行 。 信 任 域 就 是 服从 同一 组 公共 策略 的 所 有 实体 
的 集合 。 

信任 域 对 构建 PKI 非常 重要 。 通 常 ,如 果 两 个 实体 处 于 同一 个 信任 域 中 ,那么 它们 之 
间 建 立信 任 关系 就 非常 简单 ; 反之 就 比较 复杂 。 


4.4.2 信任 模型 

1. 严格 层次 模型 

严格 层次 模型 可 以 描绘 成 一 棵 树 ( 见 图 4-5) 。 树 根 代表 一 个 对 整个 PKI 域 所 有 实体 都 
有 特别 意义 的 CA, 称 之 为 根 CA, 作 为 信任 的 根 或 信任 锚 。 根 CA 下 面 是 零 层 或 多 层 中 间 
CA, 这 些 CA 称 为 一 级 子 CA ,二 级 子 CA…… 。 树 中 的 叶子 节点 代表 终端 用 户 。 

在 这 个 层次 模型 中 ,层次 结构 的 所 有 实体 都 信任 唯一 的 根 CA。 因 此 ,每 个 实体 都 拥有 
根 CA 的 公 钥 。 这 个 层次 结构 按照 如 下 规则 建立 。 
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根 CA 


-级 子 CA -级 子 CA> 


二 级 子 CA3 二 级 子 CA4 二 级 子 CAs 


Alice Bob 


4-5 严格 层次 模型 


(1) 根 CA 认证 直接 在 它 下 面 的 CA。 在 图 中 , 根 CA 直接 认证 一 级 子 CA! 和 CA: 。 这 
里 的 认证 具体 含义 可 以 理解 为 根 CA 签发 一 级 子 CA 的 证 书 。 

(2) 每 个 子 CA 都 认证 零 个 或 多 个 直接 在 它 下 面 的 CA。 如 图 中 一 级 子 CA, 签发 二 级 
子 CA， 和 CA, 的 证 书 。 

(3) 倒数 第 二 层 的 CA 直接 认证 终端 用 户 。 

在 层次 结构 中 的 每 个 实体 都 必须 拥有 根 CA 的 公 钥 。 拥 有 根 CA 公 钥 是 所 有 实体 间 进 
行 认 证 的 基础 。 

在 图 4-5 中 ,Alice 如 何 认证 Bob 的 公 钥 呢 ? 因为 Alice 拥有 根 CA 的 公 钥 ,所 以 她 能 
够 用 有 & 认证 一 级 子 CA。 的 公 钥 ,然后 用 ks 认证 二 级 子 CAs 的 公 钥 ,最 后 用 ks 认证 
Bob 的 证 书 , 从 而 得 到 Bob 的 公 钥 。 同 理 , Bob 也 可 以 通过 类 似 的 过 程 验证 Alice 的 公 钥 ， 
在 验证 完 对 方 公 钥 之 后 ,Alice 和 Bob 就 可 以 进行 安全 通信 。 

2. 分 布 式 信任 模型 

在 严格 层次 模型 中 ,PKI 系 统 中 的 所 有 实体 都 唯一 信任 根 CA。 而 分 布 式 信 任 模型 把 
信任 分 散 到 两 个 或 多 个 CA 上 。 分 布 式 信任 模型 有 两 种 结构 : 星 形 结构 和 网 状 结构 。 

星 形 结构 的 分 布 式 信任 模型 如 图 4-6 所 示 ,其 外 观 很 类 似 严 格 层次 模型 ,但 是 它们 之 间 
是 有 本 质 差 别 的 : 这 种 差别 在 于 终端 用 户 持 有 谁 的 公 钥 。 在 星 形 结构 分 布 式 信任 模型 中 ， 
Alice 和 Bob 分 别 拥有 不 同 的 根 CA 的 公 钥 ,他 们 并 不 知道 中 心 CA 的 公 钥 。 因 此 ,不 能 将 
中 心 CA 看 作 根 CA。 那么 Alice 是 如 何 认证 Bob 的 公 钥 的 呢 ? Alice 首先 通过 根 CA 的 公 
钥 来 认证 中 心 CA 的 公 钥 ,然后 通过 中 心 CA 的 公 钥 来 认证 根 CA; 的 公 钥 ,再 通过 
认证 一 级 子 CAs 的 公 钥 ,最 后 由 ks 来 认证 Bob 的 公 钥 。 同 理 ,Bob 同样 通过 类 似 的 过 程 
来 认证 Alice 的 公 和 钥 。 

网 状 分 布 式 信任 模型 如 图 4-7 所 示 。 所 有 的 根 CA 之 间 都 可 能 进行 交叉 认证 了。 当 任 
何 两 个 根 CA 之 间 需 要 安全 通信 时 就 需要 交叉 认证 。 图 4-7 所 示 的 是 仅 有 三 个 根 CA 之 间 
有 完全 连接 @ 的 情况 。 一 般 地 ,如 果 有 nn 个 根 CA 之 间 需 要 两 两 进行 交叉 认证 ,那么 就 需要 
C? 个 交叉 认证 协议 。 


@ 交叉 认证 参见 4.4.3 节 。 
加 “所谓 完全 连接 , 指 每 两 个 根 CA 节点 之 间 都 有 连接 。 
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中 心 CA 


根 CA) 根 CA> 


一 级 子 CA3 一 级 子 CA4 一 级 子 CAs 


Alice Bob 


4-6 星 形 结构 的 分 布 式 信任 模型 


-级 子 CAn -级 子 CA12 


一 级 子 CAn A 一 级 子 CAn 
] 根 CA4 [一 一 要 CA; 
一 级 子 CAo 一 级 子 CA 
Alice Bob 


图 4-7 网 状 结构 的 分 布 式 信任 模型 


3, Web 模型 

Web 模型 依赖 于 浏览 器 ,诸如 微软 的 下 .网 景 的 Navigator 等 。 在 这 种 模型 中 ,浏览 器 
厂商 将 许多 CA 的 公 钥 集成 在 浏览 器 软件 中 ,这 些 公 钥 确定 了 一 组 CA ,浏览 器 用 户 最 初 是 
信任 这 些 CA 的 (也 许 用 户 本 身 并 不 知道 浏览 器 软件 中 嵌入 了 哪些 CA 的 公 钥 或 证 书 ) ,并 
将 其 作为 信任 的 根 。 

Web 信任 模型 的 一 个 最 大 缺点 就 是 安全 性 较 差 。 例 如 , 当 某 个 CA 的 私 钥 被 瓷 或 被 汇 
漏 ,那么 显然 应 当 从 浏览 器 中 废除 掉 该 CA 的 公 钥 。 但 不 幸 的 是 ,很 难 从 全 世界 的 计算 机 上 
删 掉 该 CA 的 公 钥 。 因 为 很 多 用 户 要 么 不 知道 CA 的 私 钥 已 被 泄漏 ,要 么 知道 私 钥 已 经 被 
泄漏 ,但 不 知道 应 当 如 何 删 除 。 

以 微软 的 IE 为 例 , 我 们 将 介绍 嵌入 在 浏览 器 中 的 证 书 和 公 钥 。 打 开 IE 浏览 器 ,依次 选 
择 “ 工 具 ”>“Internet 选项 ”一 “内容” 一 “证书 ”, 将 出 现 如 图 4-8 所 示 界 面 。 可 以 看 到 ,浏览 
器 中 内 嵌 了 很 多 受信 任 的 根 证 书 颁 发 机 构 和 中 级 证 书 颁 发 机 构 。 任 意 选 择 一 个 实体 的 证 
书 ,可 以 查看 其 证 书 的 信息 ,比如 证 书 的 使 用 目的 、 证 书 的 颁发 者 .证 书 的 拥有 者 .证书 的 有 
效 日 期 以 及 其 他 详细 信息 ,诸如 证 书 版 本 号 .序列 号 .所 选用 的 签名 算法 以 及 公 钥 等 信息 。 
如 果 该 证 书 的 颁发 者 MSN Content PCA 的 私 钥 不 小 心 被 盗 ,那么 我 们 将 不 再 信任 该 证 书 。 
简单 地 通过 IE 将 其 删除 就 可 以 了 。 

4. 以 用 户 为 中 心 的 模型 

以 用 户 为 中 心 的 信任 模型 由 用 户 自 己 决定 信任 哪些 证 书 或 者 拒绝 哪些 证 书 。 例 如 ,用 
户 最 初 可 能 只 信任 自己 的 亲人 和 最 亲密 的 朋友 。 随 着 交往 慢 慢 扩大 ,他 所 信任 的 范围 也 慢 
慢 扩 大 ,如 图 4-9 所 示 。 


上 
息 安 全 概论 


预 则 目的 (N), 已 
个 人 | 其 好 人 | 中 经 证 书后 发 机 构 | 受 值 任 的 根 证 书 全 发 机 构 | 受信 任 的 发 行者 | <] 
颁发 给 颌 发 者 薰 止 B 期 | 
国 @lobalSien Boo... Root SGC jnthority 2014-1-28 
国 GTE CyberTrust. Root SGC Authority 2006-2-23 
国 Wicrosoft Inte. GTE CyberTrust G6. 2007-2-24 
国 Wicrosoft Secu.. Mierosoft Intern ,. 2007-2-24 
Wicrosoft Wind .. Merosoft Root A.. 2002-1 
2002-1 
2010-1-1 


代码 签名 , 时 间 禹 ,1.3.6.1.4.1.311.51.1.3 


4-8 集成 在 浏览 器 中 的 CA 证 书 


Alice 的 母亲 Alice 的 父亲 


ZN ~ 


Alice 的 母亲 | |Alice 的 母亲 Alice 的 父亲 | |Alice 的 父亲 
的 朋友 的 同事 的 朋友 的 同事 


4-9 以 用 户 为 中 心 的 信任 模型 


如 果 Alice 要 和 Bob 相互 认证 应 该 怎么 办 呢 ? 而 Bob 是 Alice 从 未 见 过 或 听 说 过 的 。 
其 实 根据 小 世界 原理 2: 在 人 际 交往 的 脉络 中 ,任意 两 个 陌生 人 都 可 以 通过 “亲友 的 亲友 ” 建 
立 联 系 , 这 中 间 平 均 只 要 通过 六 个 朋友 就 能 达到 目的 。 

小 世界 原理 的 奇妙 理论 引起 了 数学 家 、 物 理学 家 以 及 计算 机 科学 家 们 的 关注 。 他 们 研 
究 发 现世 界 上 许多 其 他 的 网 络 也 有 极 相 似 的 “六 度 分 离 ” 结 构 , 例 如 生态 系统 中 的 食物 链 结 
构 ,甚至 我 们 广泛 使 用 的 Internet 也 遵从 六 度 分 离 原 则 。 

2001 年 哥伦比亚 大 学 社会 学 系 的 一 个 研究 小 组 在 互联 网 上 进行 了 这 个 实验 。 他 们 建 
立 了 一 个 实验 网 站 ,终点 是 分 布 在 不 同 国家 的 18 个 人 (包括 纽约 的 一 位 作家 、 澳 大 利 亚 的 一 
名 警察 以 及 巴黎 的 一 位 图 书 管理 员 等 ) ,志愿 者 通过 这 个 网 站 把 电子 邮件 发 给 最 可 能 实现 任 
务 的 亲友 。 结 果 一 共有 384 个 志愿 者 的 邮件 抵达 了 目的 地 ,电子 邮件 大 约 只 花 了 五 到 七 步 
就 传递 到 了 目标 。 

六 度 分 离 原 则 使 得 Alice 和 陌生 人 Bob 可 以 平均 通过 6 人 建立 信任 关系 ,而 这 6 个 人 
是 Alice 和 Bob 同时 信任 的 。 


@ 即 六 度 分 离 原 则 ,读者 可 以 参考 相关 著作 或 文章 。 
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4.4.3 交叉 认证 


随 着 网 络 普及 的 程度 越 来 越 高 , 越 来 越 多 的 企业 使 用 PKI, 世 界 范围 内 也 出 现 了 各 种 证 
书 管理 体系 结构 。 这 样 使 我 们 面临 着 一 个 问题 : 假设 Alice 是 美国 的 公民 ,她 拥有 美国 CA 
的 公 钥 及 其 签发 的 证 书 ; 而 Bob 属于 英格兰 ,他 拥有 英格兰 CA 的 公 钥 及 其 签发 的 证 书 。 
Alice 只 能 信任 美国 CA 签发 的 证 书 , 因 为 她 拥有 美国 CA 的 公 钥 ; 但 她 不 能 验证 Bob 的 证 
书 , 因 为 她 没有 英格兰 CA 的 公 钥 。 同 理 ,Bob 也 不 能 验证 Alice 的 证 书 。 如 果 Alice 和 Bob 
要 进行 电子 商务 活动 ,他们 之 间 应 该 如 何 建立 信任 关系 呢 ? 这 是 PKI 体系 互通 性 必须 考虑 
的 问题 ,PKI 体 系 中 采取 的 算法 的 多 样 性 更 加 深 了 互通 操作 的 复杂 程度 。 

PKI 在 全 球 互 通 可 以 有 两 种 实现 途径 。 

(1) 各 PKI 体系 的 根 CA 交叉 认证 。 一 个 CA 可 能 作为 证 书 主体 接受 其 他 CA 签发 的 
证 书 , 这 种 情况 下 证 书 称 为 互 签证 书 , 作 为 证 书 主体 的 CA 称 为 主体 CA, 作 为 签发 者 的 CA 
称 为 中 间 CA。 交 叉 认 证 是 一 种 把 之 前 无 关 的 CA 连接 在 一 起 的 有 用 机 制 ,从 而 使 得 各 自主 
体 群 之 间 的 安全 通信 成 为 可 能 。 在 上 例 中 ,如 果 美 国 的 CA 和 英格兰 的 CA 进行 了 交叉 认 
证 之 后 ,Alice 的 信任 将 能 够 扩展 到 英格兰 CA 的 主体 群 。 因 为 她 可 以 用 她 信任 的 美国 CA 
公 钥 来 验证 英格兰 CA 的 证 书 ,然后 用 现在 她 所 信任 的 英格兰 CA 的 公 钥 来 验证 Bob 的 证 书 。 
同 理 ,Bob 也 可 以 验证 Alice 的 证 书 。 如 图 4-10 所 示 为 PKI 互通 一 一 根 CA 之 间 交 叉 认 证 。 


tacA| —— 30E ~ macA 
-级 CA | -级 CA 
:= 级 CA = 级 CA | :级 CA = 级 CA 
Alice Bob 


4-10 ”PKI 互通 一 一 根 CA 之 间 交 叉 认 证 


(2) 建立 一 个 全 球 性 的 统一 根 CA ,为 各 PKI 体系 的 根 证 书 颁 发 证 书 。 当 然 , 也 可 以 通 
过 建立 全 球 统一 的 根 CA 来 解决 Alice 和 Bob 所 遇 到 的 问题 ,如 图 4-11 所 示 , 但 是 PKI 体系 的 
管理 者 一 般 都 希望 保持 本 体系 的 独立 自治 性 ,因此 ,建立 全 球 统一 的 根 CA 是 很 有 难度 的 。 


全 球 统一 根 CA 


美国 根 CA 英国 根 CA 


三 级 CA 三 级 CA 三 级 CA 三 级 CA 


Alice Bob 


图 4-11 PKI 互 通 一 一 全 球 统一 根 CA 
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安全 概论 


习题 4 


方案 


什么 是 PKI? 为 什么 需要 PKI? 
基础 设施 的 特点 是 什么 ? 你 周围 有 哪些 基础 设施 ? 
我 国 PKI 行业 面临 的 基本 问题 有 哪些 ? 你 能 否 针对 这 些 问题 提出 你 的 建议 或 解决 


让 

区 

3. 

了 

4. 典型 的 PKI 系 统 包含 哪些 内 容 ? 

5. PKI 提供 的 服务 有 哪些 ? 

6. PKI 由 哪 几 个 基本 部 分 组 成 ?请 简要 描述 这 几 部 分 的 作用 。 
7. 什么 是 CA? 什么 是 RA? CA 由 哪 几 部 分 组 成 ? 这 几 部 分 的 作用 是 什么 ? 
8. 证 书 发 放 有 哪 两 种 方式 ?请 简要 描述 这 两 种 发 放 方式 的 步 又 。 
9. 为 什么 需要 证 书 撤销 ? 引发 证 书 撤销 的 原因 有 哪些 ? 

10. 什么 是 信任 域 ?请 结合 生活 中 的 例子 说 明 信 任 域 的 概念 。 
11. PKI 中 大 体 有 哪 几 种 信任 模型 ? 请 画图 说 明 。 

12. 什么 是 交叉 认证 ? 为 什么 需要 交叉 认证 ? 


防火 墙 技术 第 5 章 


防火 墙 最 早 来 源 于 建筑 学 中 的 一 种 特殊 构造 ,用 于 在 建筑 物 发 生火 灾 时 
阻止 火势 的 蔓延 。 在 网 络 安 全 领域 的 防火 墙 是 指 一 种 常见 的 网 络 安 全 防御 
技术 ,在 网 络 安全 中 有 着 广泛 的 应 用 ,本 章 主 要 介绍 防火 墙 的 相关 概念 、 基 础 
技术 、 体 系 架构 以 及 常见 的 产品 。 


5.1 防火 墙 概述 


5.1.1 防火 墙 的 基本 概念 


防火 墙 的 英文 名 称 为 Firewall, 该 词 是 早期 建筑 领域 的 专用 术语 , 原 指 建 
筑 物 间 的 一 堵 隔 离 墙 ,用 途 是 在 建筑 物 失 火 时 阻止 火势 的 葛 延 。 在 现代 计算 
机 网 络 中 ,防火 墙 则 是 指 一 种 协助 确保 信息 安全 的 设施 ,其 会 依照 特定 的 规 
则 ,允许 或 是 禁止 传输 的 数据 通过 。 防 火 墙 通常 位 于 一 个 可 信任 的 内 部 网 络 
与 一 个 不 可 信任 的 外 界 网 络 之 间 , 用 于 保护 内 部 网 络 免 受 非法 用 户 的 入 侵 。 
防火 墙 技术 是 网 络 之 间 安 全 的 核心 技术 ,是 网 络 解决 隔离 与 连通 矛盾 的 一 种 较 
好 的 解决 方案 。 它 在 网 络 环境 下 构筑 内 部 网 和 外 部 网 之 间 的 保护 层 , 并 通过 网 
络 路 由 和 信息 过 滤 实 现 网 络 的 安全 。 防 火 墙 系统 的 逻辑 部 署 如 图 5-1 所 示 。 


工作 站 
加 
内 
网 
络 


上 
轴 


| 
| 
ea 


个 人 电脑 及 务 器 
图 5-1 防火 墙 逻辑 部 署 
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防火 墙 可 以 由 计算 机 系统 构成 ,也 可 以 由 路 由 器 构成 ,所 用 的 软件 按照 网 络 安全 的 级 别 
和 应 用 系统 的 安全 要 求 ,解决 网 间 的 某 些 服务 与 信息 流 的 隔离 与 连通 问题 。 它 可 以 是 软件 ， 
也 可 以 是 硬件 ,或 者 两 者 的 结合 ,提供 过 滤 监视、 检查 和 控制 流动 信息 的 合法 性 。 

防火 墙 可 以 在 内 部 网 (Intranet) 和 公共 互联 网 (Internet) 间 建立 ,也 可 以 在 要 害 部 门 、 敏 
感 部 门 与 公共 网 间 建 立 , 也 可 以 在 各 个 子 网 间 设 立 ,其 关键 区 别 在 于 隔离 与 连通 的 程度 。 但 
必须 注意 , 当 分 离 型 子 网 过 多 并 采用 不 同 防火 墙 技术 时 ,所 构成 的 网 络 系统 很 可 能 使 原 有 网 
络 互 连 的 完整 性 受到 损害 。 因 此 ,隔离 与 连通 是 防火 墙 要 解决 的 矛盾 ,突破 与 反 突破 的 斗争 
会 长 期 持续 ,在 这 种 突破 与 修复 中 ,防火 墙 技术 得 以 不 断 发 展 ,逐步 完善 。 因 此 ,防火 墙 的 设 
计 要 求 具有 判断 、 折 中 ,并 接受 某 些 风险 。 


5.1.2 防火 墙 的 特性 


防火 墙 一 般 具 有 三 个 显著 的 特性 。 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 这 是 防火 墙 所 处 
网 络 位 置 特性 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防火 墙 是 内 、 外 部 网 络 之 间 通 信 的 唯一 通 
道 , 才 可 以 全 面 \ 有 效 地 保护 企业 网 内 部 网 络 不 受 侵 害 。 

根据 美国 国家 安全 局 制定 的 《信息 保障 技术 框架 》, 防 火 墙 适用 于 用 户 网 络 系统 的 边界 ， 
属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 是 采用 不 同安 全 策略 的 两 个 网 络 连接 
处 ,比如 用 户 网 络 和 互联 网 之 间 连 接 . 和 其 他 业务 往来 单位 的 网 络 连接 ,用户 内 部 网 络 不 同 
部 门 之 间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ,通过 允许 、 拒 
绝 或 重新 定向 经 过 防火 墙 的 数据 流 ,实现 对 进 .出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 

从 图 5-1 中 可 以 看 出 ,防火 墙 的 一 端 连 接 内 部 的 局 域 网 ,而 另 一 端 则 连接 着 外 部 网 络 
(如 互联 网 )。 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 防火墙 最 基本 的 功能 是 确保 网 络 流 
量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 一 条 链 路 转发 到 另外 的 链 路 上 去 。 例 如 
最 早期 的 防火 墙 采 用 “ 双 穴 主机 ”模型 , 即 防火 墙 系统 具备 两 个 网 络 接 口 ,同时 拥有 两 个 网 络 
层 地 址 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 上 来 ,按照 OSI 协议 栈 的 七 层 结 
构 顺 序 上 传 ,在 适当 的 协议 层 进行 访问 规则 和 安全 审查 .然后 将 符合 通过 条 件 的 报 文 从 相应 
的 网 络 接口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 因 此 ,从 这 个 角度 上 来 
说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 、 多 端口 的 (网 络 接 口 三 2) 转 发 设备 , 它 跨 接 于 多 个 
分 离 的 物理 网 段 之 间 ,并 在 报 文 转发 过 程 之 中 完成 对 报 文 的 审查 工作 。 

(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免 疫 力 。 这 是 防火 墙 之 所 以 能 担当 企业 内 部 网 
络 安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 , 它 就 像 一 个 边界 卫士 一 样 ,每 时 每 刻 都 
要 面 对 黑 客 的 人 侵 , 这 样 就 要 求 防火 墙 自身 要 具有 非常 强 的 人 侵 防 御 能 力 。 要 提高 防火 墙 
的 抗 攻击 能 力 ,首先 防火 墙 使 用 的 操作 系统 本 身 是 关键 ,只 有 构建 在 自身 具有 完整 信任 关系 
的 操作 系统 才 可 以 讨论 防火 墙 系统 的 安全 性 。 其 次 就 是 防火 墙 自 身 具有 非常 低 的 服务 功 
能 ,除了 专门 的 防火 墙 府 入 系统 外 ,不 允许 其 他 应 用 程序 在 防火 墙 上 运行 。 需 要 注意 的 是 ， 
现 有 的 这 些 安全 性 也 只 能 说 是 相对 的 ,因此 对 于 提高 防火 墙 自 身 安全 性 的 探索 工作 将 一 直 
持续 下 去 。 
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5.1.3 防火 墙 的 功能 


防火 墙 最 基本 的 功能 就 是 : 控制 在 计算 机 网 络 中 不 同 信任 程度 区 域 间 传送 的 数据 流 。 
具体 体现 在 以 下 四 个 方面 。 

(1) 防火 墙 是 网 络 安全 的 屏障 。 防 火 墙 (作为 阻塞 点 .控制 点 ) 能 极 大 地 提高 一 个 内 部 
网 络 的 安全 性 ,并 通过 过 滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 
才能 通过 防火 墙 , 所 以 网 络 环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 
NFS 协议 进出 受 保护 网 络 , 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆 弱 的 协议 来 攻击 内 部 网 
络 。 防 火 墙 同时 可 以 保护 网 络 免 受 基 于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 
定向 中 的 重 定向 路 径 。 防 火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管 
理 员 。 

(2) 防火 墙 可 以 强化 网 络 安全 策略 。 通 过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 
安全 软件 (如 口令 加密、 身份 认证 、 审 计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 
个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 更 经 济 。 例 如 在 网 络 访问 时 ,一 次 一 密 口 令 系 统 和 其 
他 的 身份 认证 系统 完 可 以 不 必 分 散在 各 个 主机 上 ,而 集中 在 防火 墙 一 身上 。 

(3) 防火 墙 可 以 对 网 络 存 取 和 访问 进行 监控 审计 。 如 果 所 有 的 访问 都 经 过 防火 墙 , 那 
么 ,防火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记 录 , 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 
当 发 生 可 疑 动 作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信 
息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 ,这 样 可 以 清楚 防火 墙 是 否 能 够 
抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防 火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 
分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 

(4) 防火 墙 可 以 防范 内 部 信息 的 外 汇 。 通 过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 
部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 
再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ,一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 
安全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ,甚至 因此 而 暴露 了 内 部 网 络 的 某 些 安 全 漏洞 。 使 用 
防火 墙 就 可 以 隐蔽 那些 透漏 内 部 细节 的 服务 如 Finger、DNS 等 。Finger 显示 了 主机 的 所 有 
用 户 的 注册 名 、 真 名 ,最 后 登录 时 间 和 使 用 Shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 
被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正在 连 
线 上 网 ,这 个 系统 是 否 在 被 攻击 时 引起 注意 等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 
DNS 信息 ,这样 一 台 主 机 的 域名 和 IP 地 址 就 不 会 被 外 界 所 了 解 。 

除了 上 述 的 安全 防护 功能 之 外 ,防火 墙 上 还 可 以 提供 网 络 地 址 转换 (NAT) .虚拟 专用 
网 (VPN) 等 其 他 功能 。 总 而 言 之 ,防火 墙 技 术 已 经 成 为 网 络 安全 中 不 可 或 缺 的 重要 安全 
措施 。 


5.1.4 防火墙 的 缺陷 


防火 墙 是 网 络 安 全 体系 中 的 重要 组 成 部 分 ,但 是 仅 通过 防火 墙 技 术 是 不 能 解决 所 有 的 
安全 问题 的 。 防 火 墙 在 安全 防范 中 的 主要 缺陷 如 下 。 

(1) 传统 的 防火 墙 不 能 防范 来 自 内 部 网 络 的 攻击 。 昌 然 新 一 代 的 “分 布 式 防火 墙 ”已 经 
将 防范 来 自 内 部 的 攻击 纳入 防火 墙 的 安全 功能 中 ,但 目前 的 大 多 数 防火 墙 仅 提 供 对 来 自 外 
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部 网 络 的 攻击 的 防护 。 对 于 来 自 内 部 网 络 用 户 的 攻击 只 能 依靠 内 部 网 络 中 主机 自身 的 安 
全 性 。 

(2) 防火 墙 不 能 防范 不 通过 防火 墙 的 攻击 。 防 火 墙 提供 的 安全 保障 与 其 在 网 络 中 所 处 
位 置 紧密 相关 ,如 果 网 络 内 部 存在 不 经 过 防火 墙 可 以 直接 与 外 部 网 络 连接 的 通信 线路 ,比如 
内 部 网 络 存在 用 户 通过 拨号 方式 直接 接 人 Internet', 攻 击 就 可 以 轻易 地 绕 过 防火 墙 进入 网 
络 内 部 。 因 此 在 内 部 网 络 架 构 设 计时 ,要 发 挥 防火 墙 的 作用 ,就 必须 使 其 成 为 唯一 的 与 外 部 
网 络 连接 的 网 络 接口 。 

(3) 防火 墙 不 能 防范 恶意 代码 的 传输 。 防 火 墙 不 能 有 效 防范 病毒 ,特洛伊 木马 等 恶意 
代码 的 入 侵 。 由 于 防火 墙 位 于 内 外 部 网 络 通信 的 关键 节点 上 ,通信 性 能 的 要 求 使 得 防火 墙 
不 可 能 扫描 通过 的 每 一 个 数据 包 内 的 数据 ,来 查找 隐藏 在 其 中 的 恶意 代码 。 

(4) 防火 墙 不 能 防范 利用 标准 协议 缺陷 进行 的 攻击 。 如 果 防 火 墙 允许 使 用 某 些 存 在 安 
全 缺陷 的 标准 网 络 协议 , 则 防火 墙 不 能 防范 利用 协议 中 缺陷 实施 的 攻击 。 

(5) 防火 墙 不 能 防范 利用 服务 器 系统 漏洞 进行 的 攻击 。 如 果 防 火 墙 允许 访问 某 些 服务 
器 的 端口 ,而 使 用 端口 的 服务 器 存在 安全 漏洞 时 ,防火墙 无 法 提供 防护 。 

(6) 防火 墙 不 能 防范 未 知 的 网 络 安全 问题 。 因 为 防火 墙 是 一 种 被 动 式 的 安全 防护 技 
术 , 只 能 对 已 有 网 络 安全 威胁 进行 防御 。 随 着 网 络 攻击 技术 的 发 展 和 新 的 网 络 应 用 不 断 出 
现 ,不 能 依赖 防火 墙 的 部 署 一 劳 永 逸 地 解决 网 络 安全 问题 。 

(7) 防火 墙 对 已 有 的 网 络 服务 有 一 定 的 限制 。 由 于 绝 大 多 数 的 网 络 服务 在 设计 时 没有 
考虑 安全 性 ,因此 存在 安全 问题 。 出 于 安全 考虑 ,防火 墙 通常 会 限制 或 关闭 很 多 有 应 用 价值 
但 存在 安全 缺陷 的 网 络 服务 ,由 此 对 用 户 的 使 用 产生 不 利 的 影响 。 

综 上 所 述 ,防火 墙 虽然 是 网 络 安全 体系 中 不 可 或 缺 的 重要 环节 ,但 仍然 存在 很 多 的 缺陷 
有 待 进一步 改进 。 


5.1.5 防火墙 的 性 能 指标 


衡量 一 个 防火 墙 的 性 能 ,可 以 从 传输 层 性 能 、 网 络 层 性 能 .应 用 层 性 能 三 个 方面 进行 考核 。 

1, 传输 层 性 能 指标 

传输 层 性 能 主要 包括 TCP 并 发 连接 数 (Concurrent TCP Connection Capacity) 和 最 大 
TCP 连接 建立 速率 (Max TCP Connection Establishment Rate) 两 个 指标 。 

(1) TCP 并 发 连接 数 。 并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 在 IETF 
RFC2647 中 给 出 了 并 发 连接 数 (Concurrent Connections) 的 定义 , 它 是 指 穿越 防火 墙 的 主机 
之 间或 主机 与 防火 墙 之 间 能 同时 建立 的 最 大 连接 数 。 它 表示 防火 墙 对 其 业务 信息 流 的 处 理 
能 力 , 反 映 出 防火 墙 对 多 个 连接 的 访问 控制 能 力 和 连接 状态 跟踪 能 力 ,这 个 参数 直接 影响 到 
防火 墙 所 能 支持 的 最 大 信息 点 数 。 

(2) 最 大 TCP 连接 建立 速率 。 该 项 指标 是 防火 墙 维持 的 最 大 TCP 连接 建立 速度 ,用 
以 体现 防火 墙 更 新 连接 状态 表 的 最 大 速率 ,考察 CPU 的 资源 调度 状况 。 这 个 指标 主要 体 
现 了 防火 墙 对 于 连接 请 求 的 实时 反应 能 力 。 对 于 中 小 用 户 来 讲 , 这 个 指标 就 显得 更 为 重要 。 
可 以 设想 一 下 , 当 防 火 墙 每 秒 可 以 更 快 地 处 理 连接 请 求 , 而 且 可 以 更 快 地 传输 数据 的 话 , 网 
络 中 的 并 发 连接 数 就 会 倾向 于 偏 小 ,防火 墙 的 压力 也 会 减 小 ,用 户 看 到 的 防火 墙 性 能 也 就 越 
好 ,所 以 TCP 连接 建立 速率 是 极其 重要 的 指标 。 
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2. 网 络 层 性 能 指标 

网 络 层 性 能 指 的 是 防火 墙 转发 引擎 对 数据 包 的 转发 性 能 ,RFC1242/2544 是 进行 这 种 
性 能 测试 的 主要 参考 标准 ,吞吐 量 \ 时 延 、 丢 包 率 和 背 对 背 缓冲 四 项 指标 是 其 基本 指标 。 这 
几 个 指标 实际 上 侧重 在 相同 的 测试 条 件 下 对 不 同 的 网 络 设备 之 间作 性 能 比较 ,而 不 针对 仿 
真实 际 流量 ,也 可 称 其 为 基准 测试 ”(Base Line Testing)。 

(1) 吞吐 量 指标 。 网 络 中 的 数据 是 由 一 个 个 数据 帧 组 成 ,防火 墙 对 每 个 数据 帧 的 处 理 
要 耗费 资源 。 吞 吐 量 就 是 指 在 没有 数据 帧 丢失 的 情况 下 ,防火墙 能 够 接受 并 转发 的 最 大 速 
率 。IETF RFC1242 中 对 吞吐 量 做 了 标准 的 定义 :“The Maximum Rate at Which None of 
the Offered Frames are Dropped by the Device” ,明确 提出 了 吞吐 量 是 指 在 没有 丢 包 时 的 最 
大 数据 帧 转发 速率 。 吞 吐 量 的 大 小 主要 由 防火 墙 内 网 卡 及 程序 算法 的 效率 决定 ,尤其 是 程 
序 算 法 ,会 使 防火 墙 系统 进行 大 量 运算 ,通信 量 大 打折 扣 。 

(2) 时 延 指标 。 网 络 的 应 用 种 类 非常 复杂 ,许多 应 用 (例如 音频 ,视频 等 ) 对 时 延 非常 敏 
感 ,而 网 络 中 加 入 防火 墙 必然 会 增加 传输 时 延 ,所 以 较 低 的 时 延 对 防火 墙 来 说 是 不 可 或 缺 
的 。 测 试 时 延 是 指 测试 仪表 发 送 端口 发 出 数据 包 经 过 防火 墙 后 到 接收 端口 收 到 该 数据 包 的 
时 间 间 隔 , 时 延 有 存储 转发 时 延 和 直通 转发 时 延 两 种 。 

(3) 丢 包 率 指 标 。 在 IETF RFC1242 中 对 丢 包 率 做 出 了 定义 ,是 指 在 正常 稳定 的 网 络 
状态 下 ,应 该 被 转发 ,但 由 于 缺少 资源 而 没有 被 转发 的 数据 包 占 全 部 数据 包 的 百分比 。 较 低 
的 丢 包 率 ,意味 着 防火 墙 在 强大 的 负载 压力 下 ,能 够 稳定 地 工作 ,以 适应 各 种 网 络 的 复杂 应 
用 和 较 大 数据 流量 对 处 理性 能 的 高 要 求 。 

(4) 背靠背 缓冲 指标 。 背 靠背 缓冲 是 测试 防火 墙 设备 在 接收 到 以 最 小 帧 间隔 传输 的 网 
络 流量 时 ,在 不 丢 包 条 件 下 所 能 处 理 的 最 大 包 数 。 该 项 指标 是 考察 防火 墙 为 保证 连续 不 丢 
包 所 具备 的 缓冲 能 力 , 因 为 当 网 络 流量 突 增 而 防火 墙 一 时 无 法 处 理 时 , 它 可 以 把 数据 包 先 绥 
存 起 来 再 发 送 。 单 从 防火 墙 的 转发 能 力 上 来 说 ,如 果 防 火 墙 具备 线 速 能 力 , 则 该 项 测试 没有 
意义 。 因 为 当 数据 包 来 得 太 快 而 防火 墙 处 理 不 过 来 时 , 才 需 要 缓存 一 下 。 如 果 防 火 墙 处 理 
能 力 很 快 ,那么 缓存 能 力 就 没有 什么 用 ,因此 当 防 火 墙 的 吞吐 量 和 新 建 连接 速率 指标 都 很 高 
时 ,无 论 防 火 墙 缓存 能 力 如 何 , 背 靠背 指标 都 可 以 测 到 很 高 ,因此 在 这 种 情况 下 这 个 指标 就 
不 太 重 要 了 。 但 是 ,由 于 以 太 网 最 小 传输 单元 的 存在 ,导致 许多 分 片 数据 包 的 转发 。 由 于 只 
有 当 所 有 的 分 片 包 都 被 接收 到 后 才 会 进行 分 片 包 的 重组 ,防火 墙 如 果 缓 存 能 力 不 够 将 导致 
处 理 这 种 分 片 包 时 发 生 错误 ,丢失 一 个 分 片 都 会 导致 重组 错误 。 可 见 , 背 靠背 缓冲 这 一 性 能 
指标 还 是 有 具体 意义 的 。 

3. 应 用 层 性 能 指标 

参照 IETF RFC2647/3511, 应 用 层 指 的 是 获得 处 理 HTTP 应 用 层 流量 的 防火 墙 基准 
性 能 ,主要 包括 HTTP 传输 速率 (HTTP Transfer Rate) 和 最 大 HTTP 事务 处 理 速率 (Max 
HTTP Transaction Rate) 。 

(1) HTTP 传输 速率 。 该 指标 主要 是 测试 防火 墙 在 应 用 层 的 平均 传输 速率 ,是 被 请 求 
的 目标 数据 通过 防火 墙 的 平均 传输 速率 。 

该 算法 是 从 所 传输 目标 数据 首 个 数据 包 的 第 一 个 比特 开始 到 最 末 数 据 包 的 最 后 一 个 比 
特 结 束 来 进行 计算 ,平均 传输 速率 的 计算 公式 为 : 
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传输 速率 (bps) 一 目标 数据 包 数 X 目标 数据 包 大 小 X8b/ 测 试 时 长 
其 中 ,目标 数据 包 数 是 指 在 所 有 连接 中 成 功 传输 的 数据 包 总 数 ,目标 数据 包 大 小 是 指 以 字 节 
为 单位 的 数据 包 大 小 。 统 计时 只 能 计算 协议 的 有 效 负载 ,不 包括 任何 协议 头 部 分 。 同 样 ,也 
必须 将 与 连接 建立 、 释 放 , 以 及 安全 相关 或 维持 连接 所 相关 的 比特 排除 在 统计 之 外 。 

由 于 面向 连接 的 协议 要 求 对 数据 进行 确认 ,传输 负载 会 因此 有 所 波动 , 则 应 该 取 测 试 中 
转发 的 平均 速率 。 

(2) 最 大 HTTP 事务 处 理 速率 。 该 项 指标 是 防火 墙 所 能 维持 的 最 大 事务 处 理 速率 , 即 
用 户 在 访问 目标 时 ,所 能 达到 的 最 大 速率 。 

在 测试 此 指标 时 ,测试 过 程 通过 多 轮 测试 、 二 分 法 定位 来 获得 防火 墙 能 维持 的 最 大 事务 
处 理 速率 。 对 于 不 同 轮 次 的 测试 ,模拟 的 HTTP 客户 端 对 模拟 HTTP 服务 器 的 GET 请 求 
速率 是 不 同 的 ,但 在 同一 轮 次 的 测试 中 客户 端 必须 维持 以 恒定 速率 来 发 起 请 求 。 如 果 模 拟 
的 客户 端 每 个 连接 中 有 多 个 GET 请 求 , 则 每 个 GET 请 求 中 的 数据 包 大 小 必须 相同 。 当 然 
在 不 同 测试 过 程 中 可 采用 不 同 大 小 的 数据 包 。 

以 上 各 项 指标 是 目前 常用 的 防火 墙 性 能 测试 衡量 参数 。 除 以 上 三 部 分 的 测试 外 ,由 于 
越 来 越 多 的 防火 墙 集成 了 IPSec VPN 的 功能 ,数据 包 经 过 VPN 隧道 进行 传输 需要 经 过 加 
密 、 解 密 , 对 性 能 所 造成 的 影响 很 显著 。 因 此 ,对 IPSec VPN 性 能 的 研究 也 很 重要 , 它 主要 
包括 协议 一 致 性 、 隧 道 容量 隧道 建立 速率 以 及 隧道 内 网 络 性 能 等 。 

同时 ,防火 墙 的 安全 性 测试 也 是 不 容 忽视 的 内 容 。 因 为 对 于 防火 墙 来 说 ,最 能 体现 其 安 
全 性 和 保护 功能 的 便 是 它 的 防 攻击 能 力 。 性 能 优良 的 防火 墙 能 够 阻拦 外 部 的 恶意 攻击 , 同 
时 还 能 够 使 内 网 正常 地 与 外 界 通信 ,对 外 提供 服务 。 因 此 ,还 应 该 考察 防火 墙 在 建立 正常 连 
接 的 情况 下 防 攻击 的 能 力 。 这 些 攻击 包括 IP 地 址 欺骗 攻击 .ICMP 攻击 、IP 碎片 攻击 .拒绝 
服务 攻击 ,特洛伊 木马 攻击 、 网 络 安全 性 分 析 攻 击 .口令 字 探 询 攻击 .邮件 诈骗 攻击 等 。 


5.1.6 防火 墙 的 功能 指标 


防火 墙 常见 的 功能 性 指标 主要 如 下 。 

1, 服务 平台 支持 

服务 平台 支持 指 防 火 墙 所 运行 的 操作 系统 平台 ,常见 的 系统 平台 包括 Linux、UNIX、 
Windows NT 以 及 专用 的 安全 操作 系统 。 通 常 使 用 专用 操作 系统 的 防火 墙 具 有 更 好 的 安全 
性 能 。 

2. LAN 口 支持 

LAN 口 支持 主要 包括 三 个 方面 ,首先 是 防火 墙 支持 LAN 接口 类 型 ,决定 着 防火 墙 能 
适用 的 网 络 类 型 ,如 以 太 网 、 令 牌 环 网 .ATM、FDDI 等 ; 其 实 是 LAN 口 支持 的 带宽 ,如 百 兆 
以 太 网 . 千 兆 以 太 网 灯 ; 最 后 是 防火 墙 提供 的 LAN 口 数 ,决定 着 防火 墙 最 多 能 同时 保护 的 
局 域 网 数量 。 

3. 协议 支持 

协议 支持 主要 指 对 非 TCP/IP 协议 族 的 支持 ,如 是 否 支持 IPX、NETBEUI 等 协议 。 

4. VPN 支持 

VPN 支持 主要 指 是 否 提供 虚拟 专 网 (VPN) 功 能 ,提供 建立 VPN 隧道 所 需 的 IPSec、 
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PPTP 专用 协议 ,以 及 在 VPN 中 可 以 使 用 的 TCP/IP 等 。 

5. 加 密 支 持 

加 密 支 持 主要 指 是 否 提供 支持 VPN 加 密 需 要 使 用 的 加 密 算法 ,如 DES、3DES、RC4 以 
及 一 些 特殊 的 加 密 算法 ,以 及 是 否 提供 硬件 加 密 支 持 等 功能 。 

6. 认证 支持 

认证 支持 主要 指 防火 墙 提供 的 认证 方式 ,如 RADIUS、Keberos、PKI、 口 令 方 式 等 。 通 
过 该 功能 防火 墙 为 远程 或 本 地 用 户 访问 网 络 资源 提供 鉴 权 认证 服务 。 

7. 访问 控制 

访问 控制 主要 指 防火 墙 通过 包 过 滤 应 用 代理 或 传输 层 代理 方式 ,实现 对 网 络 资源 的 访 
问 控制 。 

8. NAT 支持 

NAT 支持 指 防火 墙 是 否 提 供 网 络 地 址 转换 (NAT) 功 能 ,即将 一 个 IP 地 址 域 映射 到 另 
一 个 IP 地 址 域 。NAT 通常 用 于 实现 内 网 地 址 与 公 网 地 址 的 转换 ,这 可 以 有 效 地 解决 IPv4 
公 网 地 址 紧张 的 问题 ,同时 可 以 隐藏 内 部 网 络 的 拓扑 结构 ,从 而 提高 内 部 网 络 的 安全 性 。 

9. 管理 支持 

管理 支持 主要 指 提供 给 防火 墙 管 理 员 的 管理 方式 和 功能 ,管理 方式 一 般 分 为 本 地 管理 、 
远程 管理 和 集中 式 管理 。 具 体 的 管理 功能 包括 是 否 提 供 基于 时 间 的 访问 控制 ,是否 支 持 带 
宽 管理 ,是否 具备 负载 均衡 特性 、 对 容错 技术 的 支持 等 。 

10. 日 志 支持 

日 志 支 持 主要 指 防火 墙 是 否 提供 完善 的 日 志 记录 、 存 储 和 管理 的 方法 。 主 要 包括 是 否 
提供 自动 日 志 扫描 是否 提 供 自 动 报表 和 日 志 报告 输出 .是 否 提供 完备 的 告警 机 制 (如 E-mail、 
短信 ) 是否 提供 实时 统计 功能 等 。 

11. 其 他 支持 

目前 防火 墙 的 功能 不 断 地 得 到 丰富 ,其 他 可 能 提供 的 功能 还 包括 : 是 否 支持 病毒 扫描 ， 
是 否 提供 内 容 过 滤 ,是 否 能 抵御 DoS/DDoS 拒绝 服务 攻击 ,是 否 能 基于 HTTP 内 容 过 滤 
ActiveX 、Javascript 等 脚本 攻击 ,以 及 是 否 能 提供 实时 入 侵 防 御 和 防范 IP 欺骗 等 功能 。 


5.1.7 ”防火墙 的 规则 


防火 墙 执 行 的 是 组 织 或 机 构 的 整体 安全 策略 中 的 网 络 安全 策略 。 具 体 地 说 。 防 火 墙 是 
通过 设置 规则 来 实现 网 络 安全 策略 的 。 防 火 墙 规则 可 以 告诉 防火 墙 哪些 类 型 的 通信 流量 可 
以 进出 防火 墙 。 所 有 的 防火 墙 都 有 一 个 规则 文件 ,是 其 最 重要 的 配置 文件 。 

1. 规则 的 内 容 分 类 

防火 墙 规则 实际 上 就 是 系统 的 网 络 访问 政策 。 一 般 来 说 可 以 分 成 两 大 类 : 一 类 称 为 高 
级 政策 ,用 来 定义 受 限制 的 网 络 许可 和 明确 拒绝 的 服务 内 容 、 使 用 这 些 服务 的 方法 及 例外 条 
件 ; 另 一 类 称 为 低级 政策 ,描述 防火 墙 限制 访问 的 具体 实现 及 如 何 过 滤 高 级 政策 定义 的 
服务 。 
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2. 规则 的 特点 

防火 墙 规则 具有 如 下 特点 : 

0) 防火 墙 的 规则 是 保护 内 部 信息 资源 的 策略 的 实现 和 延伸 ; 

(2) 防火 墙 的 规则 必须 与 网 络 访问 活动 紧密 相关 ,理论 上 应 该 集中 关于 网 络 访问 的 所 
有 问题 ; 

(3) 防火 墙 的 规则 必须 既 稳妥 可 靠 ,又 切合 实际 ,是 一 种 在 严格 安全 管理 与 充分 利用 网 
络 资源 之 间 取 得 较 好 平衡 的 政策 ; 

(4) 防火 墙 可 以 实施 各 种 不 同 的 服务 访问 政策 。 

3. 规则 的 设计 原则 

防火 墙 的 设计 原则 是 防火 墙 用 来 实施 服务 访问 政策 的 规则 ,是 一 个 组 织 或 机 构 对 待 安 
全 问题 的 基本 观点 和 看 法 。 防 火 墙 的 设计 原则 主要 有 以 下 两 个 。 

(1) 拒绝 访问 一 切 未 予 特许 的 服务 。 在 该 规则 下 ,防火 墙 阻 断 所 有 的 数据 流 , 只 人 允许 符 
合 开放 规则 的 数据 流 进出 。 这 种 规则 创造 了 比较 安全 的 内 部 网 络 环境 ,但 用 户 使 用 的 方便 
性 较 差 ,用 户 需要 的 新 服务 必须 由 防火 墙 管理 员 逐 步 添加 。 这 个 原则 也 被 称 为 限制 性 原 
则 。 基 于 限制 性 原则 建立 的 防火 墙 被 称 为 限制 性 防火 墙 ,其 主要 的 目的 是 防止 未 经 授权 
的 访问 。 这 种 思想 被 称 为 “Deny All”, 防 火 墙 只 允许 一 些 特定 的 服务 通过 ,而 阻 断 其 他 的 
任何 通信 。 

(2) 允许 访问 一 切 未 被 特别 拒绝 的 服务 。 在 该 规则 下 ,防火 墙 只 禁止 符合 屏 项 规则 的 
数据 流 , 而 允许 转发 所 有 其 他 数据 流 。 这 种 规则 实现 简单 且 创 造 了 较为 灵活 的 网 络 环境 ,但 
很 难 提供 可 靠 的 安全 防护 。 这 个 原则 也 被 称 为 连通 性 原则 。 基 于 连通 性 原则 建立 的 防火 堪 
被 称 为 连通 性 防火 墙 ,其 主要 的 目的 是 保证 网 络 访问 的 灵活 性 和 方便 性 。 这 种 思想 被 称 为 
“Allow All”, 防 火 墙 会 默认 地 让 所 有 的 连接 通过 ,只 会 阻 断 屏蔽 规则 定义 的 通信 。 

如 果 侧重 安全 性 , 则 规则 (1) 更 加 可 取 ; 如 果 侧 重 灵活 性 和 方便 性 ,规则 2 更 加 合适 。 
具体 选择 哪 种 规则 , 需 根 据 实际 情况 决定 。 

需要 特别 指出 的 是 ,如 果 采 用 限制 性 原则 ,那么 用 户 也 可 以 采用 “最 少 特权 ”的 概念 , 即 
分 配给 系统 中 的 每 一 个 程序 和 每 一 个 用 户 的 特权 应 该 是 它们 完成 工作 所 必须 享有 的 特权 的 
最 小 集合 。 最 少 特权 降低 了 各 种 操作 的 授权 等 级 ,减少 了 拥有 较 高 特权 的 进程 或 用 户 执行 
未 经 授权 的 操作 的 机 会 ,具有 较 好 的 安全 性 。 

4. 规则 的 顺序 问题 

规则 的 顺序 问题 是 指 防火 墙 按照 什么 样 的 顺序 执行 规则 过 滤 操 作 。 一 般 来 说 ,规则 是 
一 条 接着 一 条 顺序 排列 的 , 较 特 殊 的 规则 排 在 前 面 , 而 较 普 通 的 规则 排 在 后 面 。 但 是 目前 已 
经 出 现 可 以 自动 调整 规则 执行 顺序 的 防火 墙 。 这 个 问题 必须 慎重 对 待 ,不 恰当 的 顺序 将 会 
导致 规则 的 冲突 ,以 致 造成 系统 漏洞 。 


5.1.8 防火墙 的 发 展 趋势 


当前 防火 墙 技 术 已 经 经 历 了 包 过 滤 、 应 用 网 关 , 状 态 检 测 、 自 适应 代理 等 阶段 。 其 发 展 
历史 如 表 5-1 所 示 。 
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表 5-1 防火 墙 技术 发 展 历史 
防火 墙 技术 分 代 出 现时 间 / 年 采用 技术 
第 一 代 防 火 墙 1984 包 过 滤 技 术 
第 二 代 防 火 墙 1989 应 用 网 关 技术 
第 三 代 防 火 墙 1992 状态 检测 技术 
第 四 代 防 火 墙 1998 自 适 应 代理 技术 


防火 墙 可 说 是 信息 安全 领域 最 成 熟 的 技术 之 一 ,但 是 成 熟 并 不 意味 着 发 展 的 停滞 ,恰恰 
相反 ,日 益 提高 的 安全 需求 对 信息 安全 技术 提出 了 越 来 越 高 的 要 求 ,防火 墙 也 不 例外 ,下 面 
就 防火 墙 一 些 基 本 层面 的 问题 来 介绍 一 下 防火 墙 技术 的 主要 发 展 趋势 。 

1. 模式 转变 

传统 的 防火 墙 通常 都 设置 在 网 络 的 边界 位 置 , 不 论 是 内 网 与 外 网 的 边界 ,还 是 内 网 中 的 
不 同 子 网 的 边界 ,以 数据 流 进行 分 隔 , 形 成 安全 管理 区 域 。 但 这 种 设计 的 最 大 问题 是 ,恶意 
攻击 的 发 起 不 仅仅 来 自 外 网 ,内 网 环境 同样 存在 着 很 多 安全 隐患 ,而 对 于 这 种 问题 ,边界 式 
防火 墙 处 理 起 来 是 比较 困难 的 ,所 以 现在 越 来 越 多 的 防火 墙 也 开始 体现 出 一 种 分 布 式 结构 ， 
以 分 布 式 为 体系 进行 设计 的 防火 墙 以 网 络 节点 为 保护 对 象 ,可 以 最 大 限度 地 覆盖 需要 保护 
的 对 象 ,大 大 提升 安全 防护 强度 ,这 不 仅仅 是 单纯 的 防火 墙 形式 的 变化 ,而 是 象征 着 防火 墙 
防御 理念 的 升华 。 

防火 墙 的 几 种 基本 类 型 可 以 说 各 有 优点 ,所 以 很 多 厂商 将 这 些 方式 结合 起 来 ,以 弥补 单 
纯 一 种 方式 带 来 的 漏洞 和 不 足 , 例 如 比较 简单 的 方式 就 是 既 针 对 传输 层面 的 数据 包 特 性 进 
行 过 滤 ,同时 也 针对 应 用 层 的 规则 进行 过 滤 ,这 种 综合 性 的 过 滤 设 计 可 以 充分 挖掘 防火 墙 核 
心 功 能 的 能 力 , 可 以 说 是 在 自身 基础 之 上 进行 再 发 展 的 最 有 效 途 径 之 一 ,目前 较为 先进 的 一 
种 过 滤 方 式 是 带 有 状态 检测 功能 的 数据 包 过 滤 ,其 实 这 已 经 成 为 现 有 防火 墙 的 一 种 主流 检 
测 模式 ,可 以 预见 ,未 来 的 防火 墙 检测 模式 将 继续 整合 进 更 多 的 技术 范畴 ,而 这 些 技术 范畴 
的 配合 也 同时 获得 大 幅 的 提高 。 

就 目前 的 现状 来 看 ,防火 墙 的 信息 记录 功能 日 益 完善 ,通过 防火 墙 的 日 志 系 统 , 可 以 方 
便 地 追踪 过 去 网 络 中 发 生 的 事件 ,还 可 以 完成 与 审计 系统 的 联动 ,具备 足够 的 验证 能 力 ,以 
保证 在 调查 取证 过 程 中 采集 的 证 据 符合 法 律 要 求 。 相 信 这 一 方面 的 功能 在 未 来 会 有 很 大 幅 
度 的 增强 ,同时 这 也 是 众多 安全 系统 中 一 个 需要 共同 面 对 的 问题 。 

2. 功能 扩展 

现在 的 防火 墙 已 经 呈现 出 一 种 集成 多 种 功能 的 设计 趋势 ,包括 VPN、AAA、PKI、IPSec 
等 附加 功能 ,甚至 防 病毒 .人 侵 检 测 这 样 的 主流 功能 ,都 被 集成 到 防火 墙 中 了 ,很 多 时 候 已 经 
很 难 分 辨 这 样 的 系统 到 底 是 以 防火 墙 为 主 , 还 是 以 某 个 功能 为 主 了 , 即 其 已 经 逐渐 向 IPS 
(入 侵 防御 系统 ) 转 化 。 有 些 防 火 墙 集成 了 防 病 毒 功 能 ,这 样 的 设计 会 对 管理 性 能 带 来 不 少 
提升 ,但 同时 也 对 防火 墙 的 另外 两 个 重要 因素 产生 了 影响 , 即 性 能 和 自身 的 安全 问题 ,所 以 
应 该 根据 具体 的 应 用 环境 来 做 综合 的 权衡 。 

防火 墙 的 管理 功能 一 直 在 迅猛 发 展 , 并 且 不 断 地 提供 一 些 方便 好 用 的 功能 给 管理 员 ,这 
种 趋势 仍 将 继续 ,更 多 新 颖 实效 的 管理 功能 会 不 断 地 涌现 出 来 ,例如 短信 功能 ,至 少 在 大 型 
环境 里 会 成 为 标准 配置 , 当 防 火 墙 的 规则 被 变更 或 类 似 的 被 预先 定义 的 管理 事件 发 生 之 后 ， 
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报警 行为 会 以 多 种 途径 被 发 送 至 管理 员 处 ,包括 即时 的 短信 或 移动 电话 拨 叫 功能 ,以 确保 安 
全 响应 行为 在 第 一 时 间 被 启动 ,而 且 在 将 来 ,通过 类 似 手 机 、PDA 这 类 移动 处 理 设备 也 可 以 
方便 地 对 防火 墙 进行 管理 ,当然 ,这 些 管理 方式 的 扩展 需要 首先 面 对 的 问题 还 是 如 何 保 障 防 
火 墙 系统 自身 的 安全 性 不 被 破坏 。 

3. 性 能 提高 

未 来 的 防火 墙 由 于 在 功能 性 上 的 扩展 ,以 及 应 用 日 益 丰富 流量 日 益 复杂 所 提出 的 更 多 
性 能 要 求 , 会 呈现 出 更 强 的 处 理性 能 要 求 , 而 寄 希 望 于 硬件 性 能 的 水 涨 船 高 肯定 会 出 现 瓶 
颈 , 所 以 诸如 并 行 处 理 技术 等 经 济 实用 并 且 经 过 足够 验证 的 性 能 提升 手段 将 越 来 越 多 地 应 
用 在 防火 墙 平台 上 ; 相对 来 说 ,单纯 的 流量 过 滤 性 能 是 比较 容易 处 理 的 问题 ,而 与 应 用 层 涉 
及 越 紧密 ,性 能 提高 所 需要 面 对 的 情况 就 会 越 复杂 ; 在 大 型 应 用 环境 中 ,防火 墙 的 规则 库 至 
少 有 上 万 条 记录 ,而 随 着 过 滤 的 应 用 种 类 的 提高 ,规则 数 往往 会 以 趋 进 几何 级 数 的 程度 上 
升 ,这 对 防火 墙 的 负荷 是 很 大 的 考验 ,使 用 不 同 的 处 理 器 完成 不 同 的 功能 可 能 是 解决 办 法 之 
一 ,例如 利用 集成 专 有 算法 的 协 处 理 器 来 专门 处 理 规则 判断 ,在 防火 墙 的 某 方面 性 能 出 现 较 
大 瓶颈 时 ,通常 可 以 单纯 地 升级 某 个 部 分 的 硬件 来 解决 ,这 种 设计 有 些 已 经 应 用 到 现 有 的 防 
火 墙 中 了 ,也 许 在 未 来 的 防火 墙 中 会 呈现 出 非常 复杂 的 结构 。 

除了 硬件 因素 之 外 ,规则 处 理 的 方式 及 算法 也 会 对 防火 墙 性 能 造成 很 明显 的 影响 ,所 以 
在 防火 墙 的 软件 部 分 也 应 该 融入 更 多 先进 的 设计 技术 ,并 衍生 出 更 多 的 专用 平台 技术 ,以 期 
满足 防火 墙 的 性 能 要 求 。 

综 上 所 述 ,不 论 从 功能 还 是 从 性 能 来 讲 , 防 火 墙 的 未 来 发 展 速度 会 不 断 地 加 快 ,这 也 反 
映 了 安全 需求 不 断 上 升 的 一 种 趋势 。 


5.2 ”防火墙 技术 概述 


防火 墙 技术 主要 包括 包 过 滤 技 术 、 应 用 网 关 技 术 和 状态 检测 技术 等 。 
5.2.1 包 过 滤 技术 


包 过 滤 技 术 也 称 为 分 组 过 滤 技 术 。 包 是 网 络 中 数据 包 传输 的 基本 单位 , 当 信 息 通过 网 
络 进行 传输 时 ,在 发 送 端 被 分 割 为 一 系列 数据 包 , 经 由 网 络 上 的 中 间 节 点 转发 ,抵达 传输 的 
目的 端 时 被 重新 组 合 形成 完整 的 信息 。 一 个 数据 包 由 两 部 分 构成 : 包头 部 分 和 数据 部 分 。 

只 使 用 包 过 滤 技 术 的 防火 墙 是 最 简单 的 一 种 防火 墙 , 它 在 网 络 层 截获 网 络 数据 包 ,根据 
防火 墙 的 规则 表 ,来 检测 攻击 行为 ,在 网 络 层 提供 较 低 级 别 的 安全 防护 和 控制 。 过 滤 规 则 以 
用 于 IP 顺 行 处 理 的 包头 信息 为 基础 ,不 理会 包 内 的 正文 信息 内 容 。 包 头 信息 包括 IP 源 地 
址 、IP 目的 地 址 、 封 装 协议 CTCP .UDP 或 IP Tunnel)、TCP/UDP 源 端口 IJCMP 包 类 型 . 包 
输入 接口 和 包 输 出 接口 。 如 果 找 到 一 个 匹配 , 且 规 则 允许 这 一 包 , 这 一 包 则 根据 路 由 表 中 的 
信息 前 行 。 如 果 找 到 一 个 匹配 , 且 规 则 拒绝 此 包 , 这 一 包 则 被 舍弃 。 如 果 无 匹配 规则 ,一 个 
用 户 配置 的 默认 参数 将 决定 此 包 是 前 行 还 是 被 舍弃 ,其 工作 原理 如 图 5-2 所 示 。 

典型 的 过 滤 规 则 有 以 下 几 种 : 允许 特定 名 单 内 的 内 部 主机 进行 Telnet 输入 对 话 、 只 人 允 
许 特定 名 单 内 的 内 部 主机 进行 FTP 输入 对 话 、 只 允许 所 有 Telnet 输出 对 话 、 只 人 允许 所 有 
FTP 输出 对 话 , 拒 绝 来 自 一 些 特定 外 部 网 络 的 所 有 输入 信息 。 
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5-2 包 过 滤 工 作 原 理 


有 些 类 型 的 攻击 很 难 用 基本 包头 信息 加 以 鉴别 ,因为 这 些 独 立 于 服务 。 一 些 Router 可 
以 用 来 防止 这 类 攻击 ,但 过 滤 规 则 需要 增加 一 些 信息 ,而 这 些 信 息 只 有 通过 以 下 方式 才能 获 
悉 : 研究 Router 选择 表 、 检 查 特定 的 IP 选项 、 校 验 特殊 的 片段 偏 移 等 。 这 类 攻击 有 以 下 
几 种 。 

(1) 源 IP 地址 欺骗 攻击 : 入 侵 者 从 伪装 成 源 自 一 台 内 部 主机 的 一 个 外 部 地 点 传送 一 些 
信息 包 ; 这 些 信息 包 似 乎 像 包含 了 一 个 内 部 系统 的 源 卫 地 址 。 如 果 这 些 信 息 包 到 达 Router 
的 外 部 接口 , 则 舍弃 每 个 含有 这 个 源 IP 地 址 的 信息 包 , 就 可 以 挫败 这 种 源 欺骗 攻击 。 

(2) 源 路 由 攻击 : 源 站 指定 了 一 个 信息 包 穿越 Internet 时 应 采取 的 路 径 , 这 类 攻击 企图 
绕 过 安全 措施 ,并 使 信息 包 沿 一 条 意外 ( 政 漏 ) 的 路 径 到 达 目 的 地 。 可 以 通过 舍弃 所 有 包含 
这 类 源 路 由 选项 的 信息 包 方式 ,来 挫败 这 类 攻击 。 

(3) 碎片 攻击 : 入 侵 者 利用 IP 残片 特性 生成 一 个 极 小 的 片断 并 将 TCP 报头 信息 肢解 
成 一 个 分 离 的 信息 包 片 断 。 售 弃 所 有 协议 类 型 为 TCP、IP 片断 偏 移 值 等 于 1 的 信息 包 , 即 
可 挫败 碎片 的 攻击 。 

表 5-2 列 出 了 分 组 过 滤 防 火 墙 的 过 滤 规 则 的 示例 。 


表 5-2 分 组 过 滤 防 火 墙 的 过 滤 规 则 示例 


组 序号 动作 源 了 P 目的 人 P 源 端 口 目的 端口 协议 类 型 
E 允许 10.1.1. * 关 关 兴 TCP 
2 允许 * 10.1.1.2 >1023 80 TCP 
» 允许 * 10.1.1.3 >1023 Lt UDP 
4 禁止 任意 任意 任意 任意 任意 


上 例 中 ,规则 库 中 仅 有 4 条 规则 。 规 则 1 允许 内 网 的 机 器 (10. 1. 1. * 网 段 ) 访 问 外 网 服 
务 ; 规则 2 允许 外 界 通过 端口 80 访问 内 网 的 服务 器 10. 1. 1. 2, 即 打开 的 Web 服务 器 
10.1.1.2 对 外 的 HTTP 服务 ; 规则 3 允许 外 界 通过 端口 53 访问 内 网 的 服务 器 10. 1. 1. 3， 
53 号 端口 是 DNS 服务 ; 规则 4 禁止 了 所 有 其 他 类 型 的 数据 包 。 

包 过 滤 规 则 的 匹配 方式 是 顺序 匹配 ,因此 在 设置 规则 时 ,需要 注意 以 下 几 点 。 

(1) 最 常用 的 规则 放 在 前 面 , 这 样 可 以 提高 效率 。 

(2) 按 从 最 特殊 的 规则 到 最 一 般 的 规则 的 顺序 创建 。 当 规则 冲突 时 ,一般 规则 不 会 妨 
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碍 特殊 规则 。 

(3) 规则 库 通常 都 有 一 条 默认 规则 ,当前 面 所 有 的 规则 都 不 匹配 时 ,执行 默认 规则 。 默 
认 规 则 可 以 是 允许 ,也 可 以 是 禁止 。 从 安全 的 角度 看 来 ,默认 规则 为 禁止 更 合适 。 

(4) 对 于 TCP 数据 包 , 大 多 数 分 组 过 滤 设 备 都 使 用 一 个 总 体 性 的 策略 来 允许 已 建立 的 
连接 通过 设备 。 如 果 TCP 包 的 SYN 位 被 清空 , 则 表示 这 是 一 个 已 建立 连接 的 数据 包 。 

包 过 滤 技术 的 优势 在 于 其 容易 实现 ,费用 少 , 对 性 能 的 影响 不 大 ,对 流量 的 管理 较 出 色 ， 
目前 大 多 数 路 由 器 都 具备 包 过 滤 的 功能 ,因此 可 以 直接 利用 路 由 器 来 实现 包 过 滤 。 该 方式 
具有 以 下 优点 。 

(1) 使 用 一 个 过 滤 路 由 器 就 能 协助 保护 整个 网 络 , 目 前 多 数 Internet 防火 墙 系统 只 用 
一 个 包 过 滤 路 由 器 。 

(2) 包 过 滤 速 度 快 ,效率 高 。 执 行 包 过 滤 所 用 的 时 间 很 少 或 几乎 不 需要 什么 时 间 , 由 于 
只 检查 报头 相应 的 字段 ,一 般 不 查看 数据 报 的 内 容 , 而 且 某 些 核心 部 分 是 由 专用 硬件 实现 
的 ,如 果 通 信和 负载 适中 且 定 义 的 过 滤 很 少 的 话 , 则 对 路 由 器 性 能 没有 多 大 影响 。 

(3) 包 过 滤 对 终端 用 户 和 应 用 程序 是 透明 的 。 当 数据 包 过 滤 路 由 器 决定 让 数据 包 通 过 
时 , 它 与 普通 路 由 器 没什么 区 别 ,甚至 用 户 没有 认识 到 它 的 存在 ,因此 不 需要 专门 的 用 户 培 
训 或 在 每 个 主机 上 设置 特别 的 软件 。 

包 过 滤 的 局 限 性 表现 为 以 下 几 点 。 

(1) 定义 包 过 滤器 可 能 是 一 项 复杂 的 工作 。 因 为 网 络 管理 人 员 需 要 详细 地 了 解 Internet 
各 种 服务 .包头 格式 和 和 希望 每 个 域 查找 的 特定 的 值 。 如 果 必 须 支 持 复杂 的 过 滤 要 求 的 , 则 过 
滤 规 则 集 可 能 会 变 得 很 长 很 复杂 ,并 且 没 有 什么 工具 可 以 用 来 验证 过 滤 规 则 的 正确 性 。 

(2) 路 由 器 数据 包 的 吞吐 量 随 过 滤器 数量 的 增加 而 减少 。 路 由 器 被 优化 用 来 从 每 个 包 
中 提取 目的 IP 地 址 ,查找 一 个 相对 简单 的 路 由 表 , 而 后 将 信息 包 顺 向 运行 到 适当 转发 接口 。 
如 果 执 行 过 滤 ,路 由 器 还 必须 对 每 个 包 执行 所 有 过 滤 规 则 。 这 可 能 消耗 CPU 的 资源 ,并 影 
响 一 个 完全 饱和 的 系统 性 能 。 

(3) 不 能 彻底 防止 地 址 欺骗 。 大 多 数 包 过 滤 路 由 器 都 是 基于 源 IP 地 址 、 目 的 IP 地 址 
而 进行 过 滤 的 ,而 IP 地 址 的 伪造 是 很 容易 ,很 普遍 的 。 

(4) 一 些 应 用 协议 不 适合 于 数据 包 过 滤 。 即 使 是 完美 的 数据 包 过 滤 ,也 会 发 现 一 些 协 
议 不 很 适合 于 经 由 数据 包 过 滤 安 全 保护 ,如 RPC、X-Window 和 FTP。 

(5) 正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安全 策略 。 例 如 ,数据 包 说 它们 来 自 什么 
主机 ,而 不 是 什么 用 户 , 因 此 不 能 限制 特殊 的 用 户 。 同 样 地 ,数据 包 说 它 到 什么 端口 ,而 不 是 
到 什么 应 用 程序 , 当 通 过 端口 号 对 高 级 协议 强行 限制 时 ,不 希望 在 端口 上 有 别 的 指定 协议 之 
外 的 协议 ,而 不 怀 好 意 的 知情 者 能 够 很 容易 地 破坏 这 种 控制 。 

(6) 一 些 包 过 滤 路 由 器 不 提供 或 只 提供 有 限 的 日 志 能 力 , 有 可 能 直到 入 侵 发 生 后 ,危险 
的 包 才 可 能 检测 出 来 。 它 可 以 阻止 非法 用 户 进 入 内 部 网 络 , 但 也 不 会 记录 谁 闪 入 过 ,或 者 谁 
从 内 部 进入 了 外 部 网 络 。 

(7) 包 过 滤 技 术 不 能 进行 应 用 层 的 深度 检查 ,因此 不 能 发 现 传输 的 恶意 代码 及 攻击 数 
据 包 。 

虽然 包 过 滤 技 术 有 以 上 的 缺点 ,但 是 由 于 其 方便 性 包 过 滤 仍 是 重要 的 安全 措施 。 
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5.2.2 应 用 网 关 技 术 


应 用 网 关 (Application Gateway) 技 术 又 被 称 为 代理 技术 。 它 的 逻辑 位 置 在 OSI 七 层 
协议 的 应 用 层 上 ,所 以 主要 采用 协议 代理 服务 (Proxy Services) 。 应 用 代理 防火 墙 比 分 组 过 
滤 防 火 墙 提供 更 高 层次 的 安全 性 ,但 这 是 以 丧失 对 应 用 程序 的 透明 性 为 代价 的 。 

应 用 代理 是 运行 在 防火 墙 主机 上 的 一 些 特定 的 应 用 程序 或 服务 程序 。 应 用 代理 防火 墙 
适用 于 特定 的 Internet 服务 ,如 HTTP、FTP 等 。 必 须 为 每 一 种 应 用 服务 设置 专门 的 代理 
服务 器 。 比 如 HTTP 代理 服务 器 是 介 于 浏览 器 和 Web 服务 器 之 间 的 一 台 服 务 器 ,有 了 它 
之 后 ,浏览 器 不 是 直接 到 Web 服务 器 去 取 回 网 页 而 是 向 代理 服务 器 发 出 请 求 ,Request 信 
号 会 先 送 到 代理 服务 器 ,由 代理 服务 器 来 取 回 浏览 器 所 需要 的 信息 并 传送 给 你 的 浏览 器 。 
应 用 代理 防火 墙 对 客户 来 说 是 一 个 服务 器 ,而 对 服务 器 来 说 是 一 个 客户 端 ,其 工作 原理 如 
图 5-3 所 示 。 
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5-3 应 用 代理 防火 墙 工作 流程 


如 图 5-3 所 示 , 当 内 部 网 络 的 客户 端 浏览 器 要 访问 外 部 网 的 主机 时 ,客户 端 首先 需要 将 
自己 的 代理 设置 为 应 用 代理 防火 墙 。 在 设置 了 代理 后 , 当 客户 端 发 起 对 外 网 的 主机 连接 时 ， 
客户 端 发 出 的 数据 包 目 的 地 址 不 是 指向 外 网 的 主机 ,而 是 指向 应 用 代理 防火 墙 。 应 用 代理 
防火 墙 运行 一 个 应 用 守护 程序 ,接收 到 客户 端 发 来 的 数据 包 , 首 先 判 断 是 否 允 许 这 个 连接 。 
如 果 允 许 这 个 连接 ,应 用 代理 防火 墙 则 会 代替 客户 端 向 外 部 发 出 请 求 , 收 到 回应 后 ,会 将 结 
果 返 还 给 客户 端 浏 览 器 。 在 这 个 过 程 还 可 以 进行 用 户 身份 验证 ,应 用 代理 防火 墙 只 对 合法 
的 用 户 提 供 服务 。 用 户 能 感觉 到 的 连接 是 从 客户 端 到 外 部 主机 的 连接 ,而 实际 的 连接 有 两 
个 ,一 个 是 从 客户 端 到 应 用 代理 防火 墙 的 连接 , 另 一 个 是 从 应 用 代理 防火 墙 到 外 部 主机 的 

与 包 过 滤 技 术 相 比 ,应 用 代理 技术 有 以 下 的 缺点 。 

(1) 应 用 代理 防火 墙 工作 在 OSI 模型 最 高 层 ,因此 开销 较 大 。 

(2) 对 每 项 服务 必须 使 用 专门 设计 的 代理 服务 器 。 应 用 代理 防火 墙 通常 支持 常用 的 协 
议 , 例 如 HTTP、FTP、Telnet 等 ,但 不 能 支持 所 有 的 应 用 层 协 议 。 

(3) 应 用 代理 防火 墙 配 置 的 方便 性 较 差 ,对 用 户 不 透明 。 例 如 使 用 HTTP 代理 ,需要 
用 户 配置 自己 的 下 ,从 而 使 之 指向 代理 服务 器 。 

但 是 比 起 分 组 过 滤 防 火 墙 ,应 用 代理 防火 墙 能 够 提供 更 高 层次 的 安全 性 。 
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(1) 首先 应 用 代理 防火 墙 将 保护 网 络 与 外 界 完 全 隔离 ,并 提供 更 细致 的 日 志 。 这 有 助 
于 发 现 人 侵 行为 。 

(2) 应 用 代理 防火 墙 本 身 是 一 台 主 机 ,可 以 执行 诸如 身份 验证 等 功能 。 

(3) 应 用 代理 防火 墙 检测 的 深度 更 深 , 能 够 进行 应 用 级 的 过 滤 。 例 如 ,有 的 应 用 代理 防 
火 墙 可 以 过 滤 FTP 连接 并 禁止 FTP 的 “put” 命 令 , 从 而 保证 用 户 不 能 往 匿 名 FTP 服务 器 
上 写 和 人 数据。 

(4) 由 于 域名 系统 (DNS) 的 信息 不 会 从 受 保护 的 内 部 网 络 传 到 外 界 , 所 以 站 点 系统 的 
名 字 和 IP 地 址 对 Internet 是 隐蔽 的 。 

应 用 层 网 关 为 特定 的 服务 (如 FTP、Telnet 等 ) 提 供 代 理 服务 ,代理 服务 器 不 但 转发 数 
据 包 而 且 对 应 用 层 协 议 做 出 解析 。 此 外 还 存在 一 种 称 为 电路 级 网 关 (Circuit Level 
Gateway) 的 代理 技术 ,其 只 是 建立 起 一 个 TCP 连接 ,对 数据 包 只 起 转发 的 作用 ,并 不 进行 
任何 附加 的 包 处 理 或 过 滤 。 电 路 级 网 关 防 火 墙 可 以 看 作 一 个 通用 的 代理 服务 器 , 它 工作 在 
OSI 互联 模型 的 会 话 层 或 是 TCP/IP 的 TCP 层 。 这 种 代理 的 优点 是 它 可 以 对 不 同 的 协议 
提供 服务 ,但 这 种 代理 需要 改进 客户 端 程序 。 

SOCKS 是 链 路 层 网 关 实 现 的 一 个 实例 (SOCKS v5 在 RFC1928 定义 )。SOCKS v5 不 
仅 支 持 基 于 TCP 连接 的 应 用 协议 的 代理 ,而 且 支 持 基于 UDP 传输 的 应 用 协议 代理 。 它 提 
供 了 一 个 标准 的 安全 验证 方式 和 对 请 求 响应 的 方式 。 其 工作 原理 是 , 当 基于 TCP 的 客户 要 
与 防火 墙 外 的 一 个 目标 建立 连接 时 , 它 必须 先 建 立 一 个 与 SOCKS 服务 器 上 SOCKS 端口 的 
TCP 连接 ,通常 这 个 TCP 端口 是 1080。 当 连接 建立 后 ,客户 端 进 入 协议 的 协商 过 程 : 认证 
方式 的 选择 ,根据 选中 的 方式 进行 认证 ,然后 发 送 转发 (relay) 的 要 求 。SOCKS 服务 器 评估 
这 个 要 求 ,根据 结果 ,或 建立 合适 的 连接 ,或 拒绝 。 因 此 这 种 网 关 对 外 像 一 个 代理 ,而 对 内 则 
类 似 一 个 过 滤 路 由 器 , 即 只 有 通过 认证 的 客户 端 数据 包 才 能 够 被 正常 地 转发 。 


5.2.3 状态 检测 技术 


状态 检测 技术 是 较 新 的 防火 墙 的 技术 。 状 态 检 测 技术 采用 的 是 一 种 基于 连接 的 状态 检 
测 机 制 , 将 属于 同一 连接 的 所 有 包 作 为 一 个 整体 的 数据 流 看 待 ,构成 连接 状态 表 , 通 过 规则 
表 与 状态 表 的 共同 配合 ,对 表 中 的 各 个 连接 状态 因素 加 以 识别 。 这 里 动态 连接 状态 表 中 的 
记录 可 以 是 以 前 的 通信 信息 ,也 可 以 是 其 他 相关 应 用 程序 的 信息 。 与 传统 包 过 滤 防 火 墙 的 
静态 过 滤 规 则 表 相 比 ,状态 检测 技术 具有 更 好 的 灵活 性 和 安全 性 。 状 态 检测 防火 墙 是 包 过 
滤 技 术 及 应 用 代理 技术 的 一 个 折 中 。 

使 用 状态 检测 的 防火 墙 的 运行 方式 是 : 

当 一 个 数据 包 到 达 状 态 检测 防火 墙 时 ,首先 通过 查看 一 个 动态 建立 的 连接 状态 表 判 断 
数据 包 是 否 属于 一 个 已 建立 的 连接 。 这 个 连接 状态 表 包 括 源 地 址 .目的 地 址 、 源 端口 号 、 目 
的 端口 号 等 及 对 该 数据 连接 采取 的 策略 (丢弃 ,拒绝 或 是 转发 )。 连 接 状 态 表 中 记录 了 所 有 
已 建立 连接 的 数据 包 信息 。 

如 果 数 据 包 与 连接 状态 表 匹 配 ,属于 一 个 已 建立 的 连接 , 则 根据 连接 状态 表 的 策略 对 数 

如 果 数 据 包 不 属于 一 个 已 建立 的 连接 ,数据 包 与 连接 状态 表 不 匹配 ,那么 防火 墙 会 检查 
数据 包 是否 与 它 所 配置 的 规则 集 匹配 。 大 多 数 状态 检测 防火 墙 的 规则 仍然 与 普通 的 包 过 滤 
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相似 。 也 有 的 状态 检测 防火 墙 对 应 用 层 的 信息 进行 检查 。 例 如 可 以 通过 检查 内 网 发 往外 网 
的 FTP 数据 包 中 是 否 有 put 命令 来 阻 断 内 网 用 户 向 外 网 的 服务 器 上 传 数据 。 与 此 同时 , 状 
态 检测 防火 墙 将 建立 起 连接 状态 表 , 记 录 该 连接 的 地 址 信息 以 及 对 此 连接 数据 包 的 策略 。 

比 起 分 组 过 滤 技术 ,状态 检测 技术 的 安全 性 更 高 。 连 接 状态 表 的 使 用 大 大 降低 把 数据 
包 伪 装 成 一 个 正在 使 用 的 连接 的 一 部 分 的 可 能 。 而 且 状 态 检测 防火 墙 能 够 对 特定 类 型 的 数 
据 包 中 的 数据 进行 检测 。 例 如 可 以 检查 FTP 与 SMTP 数据 包 中 是 否 包含 了 不 安全 的 命 
令 。 但 是 状态 检测 防火 墙 不 能 够 提供 与 应 用 代理 防火 墙 同 样 程度 的 保护 ,原因 在 于 它 仅仅 
在 数据 包 中 查找 特定 的 字符 串 。 状 态 检测 防火 墙 并 不 能 实施 代理 功能 ,不 能 隐蔽 客户 端的 
地 址 。 但 是 状态 检测 防火 墙 有 很 高 的 效率 ,能 够 提供 GB 级 的 线 速 处 理 。 


5.3 防火墙 分 类 


防火 墙 的 分 类 方法 很 多 ,可 以 分 别 从 采用 的 防火 墙 技术 、 软 /硬件 形式 ,性 能 以 及 部 署 位 
置 来 划分 。 在 上 一 节 中 已 经 介绍 了 常用 的 防火 墙 技术 ,本 节 将 介绍 两 种 较为 特殊 的 防火 墙 
类 型 。 


5.3.1 个 人 防火 墙 


个 人 防火 墙 (Personal FireWall) 顾 名 思 义 是 一 种 个 人 行为 的 防范 措施 ,这 种 防火 墙 不 
需要 特定 的 网 络 设备 ,只 要 在 用 户 所 使 用 的 个 人 计算 机 上 安装 软件 即 可 。 通 常 个 人 防火 墙 
安装 在 计算 机 网 络 接口 的 较 低级 别 上 ,这 使 得 其 可 以 监视 流入 和 流出 网 卡 的 所 有 网 络 通信 。 
可 以 将 个 人 防火 墙 想象 成 在 用 户 计算 机 上 建立 了 一 个 虚拟 的 网 络 接口 ,计算 机 操作 系统 不 
再 直接 通过 网 卡 进 行 通 信 ,而 是 首先 和 个 人 防火 墙 进行 交互 ,检测 网 络 通信 是 否 合法 ,然后 
在 经 由 网 卡 进行 实际 的 网 络 通 信 。 

个 人 防火 墙 把 用 户 的 计算 机 和 公共 网 络 分隔 开 , 它 检查 到 达 防 火 墙 两 端的 所 有 数据 包 ， 
无 论 是 进入 还 是 发 出 ,从 而 决定 该 拦截 这 个 包 还 是 将 其 放行 ,是 保护 个 人 计算 机 接 入 互联 网 
的 有 效 安 全 措施 。 

常见 的 免费 个 人 防火 墙 有 天 网 防火 墙 个 人 版 、 瑞 星 个 人 防火 墙 ,360 木马 防火 墙 \ 江 民 
黑客 防火 墙 和 金山 网 标 等 。 著 名 的 个 人 防火 墙 产品 如 著名 Symantec 公司 的 诺顿 .Network 
Ice 公司 的 Blacklce Defender、McAfee 公司 的 思科 及 Zone Lab 的 Free ZoneAlarm 等 ,都 能 
帮助 个 人 对 系统 进行 监控 及 管理 ,防止 计算 机 病毒 流氓 软 件 等 程序 通过 网 络 进 入 个 人 计算 
机 或 在 未 知情 况 下 向 外 部 扩散 。 这 些 软 件 都 能 够 独立 运行 于 整个 系统 中 或 针对 个 别 程序 、 
项 目 ,所 以 在 使 用 时 十 分 方便 及 实用 。 


5.3.2 分 布 式 防火 墙 


由 于 传统 的 防火 墙 设置 在 网 络 边界 ,在 内 部 企业 网 和 外 部 互联 网 之 间 构 成 一 个 屏障 , 进 
行 网 络 存 取 控 制 ,所 以 又 称 为 边界 防火 墙 。 随 着 计算 机 安全 技术 的 发 展 和 用 户 对 防火 墙 功 
能 要 求 的 提高 ,目前 出 现 一 种 新 型 防火 墙 , 即 “分 布 式 防火 墙 ”(Distributed Firewalls) 。 传 
统 意义 上 的 边界 防火 墙 用 于 限制 被 保护 企业 内 部 网 络 与 外 部 网 络 ( 通 常 是 互联 网 ) 之 间 相 互 
进行 信息 存 取 、 传 递 操作 , 它 所 处 的 位 置 在 内 部 网 络 与 外 部 网 络 之 间 。 实 际 上 ,所 出 现 的 各 
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种 不 同类 型 的 防火 墙 ,从 简单 的 包 过 滤 在 应 用 层 代理 以 至 自 适应 代理 ,都 是 基于 一 个 共同 的 
假设 , 那 就 是 防火 墙 把 内 部 网 络 一 端的 用 户 看 成 可 信任 的 ,而 外 部 网 络 一 端的 用 户 则 都 被 作 
为 潜在 的 攻击 者 来 对 待 。 这 样 的 假设 是 整个 防火 墙 开 发 和 工作 机 制 的 前 端 , 但 随 着 最 近 几 
年 各 种 网 络 技术 的 发 展 和 各 种 新 的 攻击 情况 不 断 出 现 , 人 们 越 来 越 希望 需要 重新 来 探讨 一 
下 传统 边界 式 防火 墙 存 在 的 种 种 问题 ,以 寻求 新 的 解决 方案 , “分布 式 防火 墙 ”技术 就 是 目前 
认为 最 有 效 的 解决 方案 。 

针对 传统 边界 防火 墙 的 缺 欠 , “分布 式 防火 墙 " 需 要 负责 对 网 络 边 界 、 各 子 网 和 网 络 内 部 
各 节点 之 间 的 安全 防护 ,所 以 “分 布 式 防火 墙 ”是 一 个 完整 的 系统 ,而 不 是 单一 的 产品 。 根 据 
其 所 需 完成 的 功能 ,新 的 防火 墙 体系 结构 包含 如 下 部 分 。 

(1) 网 络 防 火 墙 (Network Firewall) : 这 一 部 分 可 采用 的 是 纯 软 件 方式 ,也 可 以 提供 相 
应 的 硬件 支持 。 它 是 用 于 内 部 网 与 外 部 网 之 间 , 以 及 内 部 网 各 子 网 之 间 的 防护 。 与 传统 边 
界 式 防 火 墙 相 比 , 它 多 了 一 种 用 于 对 内 部 子 网 之 间 的 安全 防护 层 ,这 样 整个 网 络 的 安全 防护 
体系 就 显得 更 加 全 面 ,更 加 可 靠 。 不 过 功能 与 传统 的 边界 式 防火 墙 类 似 。 

(2) 主机 防火 墙 (Host Firewall) : 同样 也 有 纯 软件 和 硬件 两 种 产品 ,是 用 于 对 网 络 中 
的 服务 器 和 桌面 机 进行 防护 。 这 也 是 传统 边界 式 防火 墙 所 不 具有 的 ,也 算是 对 传统 边界 式 
防火 墙 在 安全 体系 方面 的 一 个 完善 。 它 是 作用 在 同一 内 部 子 网 之 间 的 工作 站 与 服务 器 之 
间 ,以 确保 内 部 网 络 服务 器 的 安全 。 这 样 防火 墙 的 作用 不 仅 是 用 于 内 部 与 外 部 网 之 间 的 防 
护 ,还 可 应 用 于 内 部 网 各 子 网 之 间 \ 同 一 内 部 子 网 工作 站 与 服务 器 之 间 。 可 以 说 达到 了 应 用 
层 的 安全 防护 , 比 起 网 络 层 更 加 彻底 。 

(3) 中 心 管理 (Central Management) : 这 是 一 个 服务 器 软件 ,负责 总 体 安 全 策略 的 策 
划 、 管 理 , 分 发 及 日 志 的 汇总 。 这 是 新 的 防火 墙 的 管理 功能 ,也 是 以 前 传统 边界 防火 墙 所 不 
具有 的 。 这 样 防火 墙 就 可 进行 智能 管理 ,提高 了 防火 墙 的 安全 防护 灵活 性 ,具备 可 管理 性 。 

综合 起 来 这 种 新 的 防火 墙 技 术 具 有 以 下 几 个 主要 特点 。 

(1) 主机 驻 留 。 这 种 分 布 式 防火 墙 的 最 主要 特点 就 是 采用 主机 驻 留 方式 ,所 以 称 之 为 
“主机 防火 墙 ”, 它 的 重要 特征 是 驻 留 在 被 保护 的 主机 上 ,该 主机 以 外 的 网 络 不 管 是 处 在 网 络 
内 部 还 是 网 络 外 部 都 认为 是 不 可 信任 的 ,因此 可 以 针对 该 主机 上 运行 的 具体 应 用 和 对 外 提 
供 的 服务 设 定 针对 性 很 强 的 安全 策略 。 主 机 防火 墙 对 分 布 式 防火 墙 体系 结构 的 突出 贡献 
是 ,使 安全 策略 不 仅仅 停留 在 网 络 与 网 络 之 间 , 而 是 把 安全 策略 推广 延伸 到 每 个 网 络 末 端 。 

(2) 嵌入 操作 系统 内 核 。 这 主要 是 针对 目前 的 纯 软 件 式 分 布 式 防火 墙 来 说 的 ,操作 系 
统 自 身 存在 许多 安全 漏洞 目前 是 众所周知 的 ,运行 在 其 上 的 应 用 软件 无 一 不 受到 威胁 。 分 
布 式 主机 防火 墙 也 运行 在 该 主机 上 ,所 以 其 运行 机 制 是 主机 防火 墙 的 关键 技术 之 一 。 为 自 
身 的 安全 和 彻底 堵 住 操作 系统 的 漏洞 ,主机 防火 墙 的 安全 监测 核心 引擎 要 以 嵌入 操作 系统 
内 核 的 形态 运行 ,直接 接管 网 卡 ,在 把 所 有 数据 包 进 行 检查 后 再 提交 操作 系统 。 为 实现 这 样 
的 运行 机 制 , 除 防火 墙 厂 商 自 身 的 开发 技术 外 ,与 操作 系统 厂商 的 技术 合作 也 是 必要 的 条 
件 , 因 为 这 需要 一 些 操作 系统 不 公开 内 部 技术 接口 。 不 能 实现 这 种 分 布 式 运行 模式 的 主机 
防火 墙 由 于 受到 操作 系统 安全 性 的 制约 ,存在 着 明显 的 安全 隐患 。 

(3) 类 似 于 个 人 防火 墙 。 分布 式 针对 桌面 应 用 的 主机 防火 墙 与 个 人 防火 墙 有 相似 之 
处 ,如 它们 都 对 应 个 人 系统 ,但 其 差别 又 是 本 质 性 的 。 首 先 它们 管理 方式 迎 然 不 同 ,个 人 防 
火 墙 的 安全 策略 由 系统 使 用 者 自己 设置 ,目标 是 防 外 部 攻击 ,而 针对 桌面 应 用 的 主机 防火 墙 
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的 安全 策略 由 整个 系统 的 管理 员 统一 安排 和 设置 ,除了 对 该 桌面 机 起 到 保护 作用 外 ,也 可 以 
对 该 桌面 机 的 对 外 访问 加 以 控制 ,并 且 这 种 安全 机 制 是 桌面 机 的 使 用 者 不 可 见 和 不 可 改动 
的 。 其 次 ,不 同 于 个 人 防火 墙 面向 个 人 用 户 , 针 对 桌面 应 用 的 主机 防火 墙 是 面向 企业 级 客户 
的 , 它 与 分 布 式 防火 墙 其 他 产品 共同 构成 一 个 企业 级 应 用 方案 ,形成 一 个 安全 策略 中 心 统一 
管理 ,安全 检查 机 制 分 散布 置 的 分 布 式 防火 墙 。 

(4) 适用 于 服务 器 托管 。 互 联网 和 电子 商务 的 发 展 促进 了 互联 网 数据 中 心 (DC) 的 迅 
速 崛 起 ,其 主要 业务 之 一 就 是 服务 器 托管 服务 。 对 服务 器 托管 用 户 而 言 ,该 服务 器 逮 辑 上 是 
其 企业 网 的 一 部 分 ,只 不 过 物理 上 不 在 企业 内 部 ,对 于 这 种 应 用 ,边界 防火 墙 解决 方案 就 显 
得 比较 牵强 附会 ,而 针对 服务 器 的 主机 防火 墙 解决 方案 则 是 其 一 个 典型 应 用 。 对 于 纯 软 件 
式 的 分 布 式 防火 墙 则 用 户 只 需 在 该 服务 器 上 安装 上 主机 防火 墙 软件 ,并 根据 该 服务 器 的 应 
用 设置 安全 策略 即 可 ,并 可 以 利用 中 心 管理 软件 对 该 服务 器 进行 远程 监控 ,不 需 任何 额外 租 
用 新 的 空间 放置 边界 防火 墙 。 对 于 硬件 式 的 分 布 式 防 火 墙 因 其 通常 采用 PCI 卡 式 的 ,通常 
兼顾 网 卡 作用 ,所 以 可 以 直接 择 在 服务 器 机 箱 里 面 , 也 就 无 须 单独 的 空间 托管 费 了 ,对 于 企 
业 来 说 更 加 实惠 。 

在 新 的 安全 体系 结构 下 ,分 布 式 防火 墙 代表 新 一 代 防 火 墙 技术 的 潮流 , 它 可 以 在 网 络 的 
任何 交界 和 节点 处 设置 屏障 ,从 而 形成 了 一 个 多 层次 ,多 协议 ,内 外 丝 防 的 全 方位 安全 体系 。 
主要 优势 如 下 。 

(1) 增强 的 系统 安全 性 : 增加 了 针对 主机 的 入 侵 检测 和 防护 功能 ,加 强 了 对 来 自 内 部 
攻击 的 防范 ,可 以 实施 全 方位 的 安全 策略 。 

(2) 提高 了 系统 性 能 : 消除 了 结构 性 瓶颈 问题 ,提高 了 系统 性 能 。 

(3) 系统 的 扩展 性 : 分 布 式 防火 墙 随 系统 扩充 提供 了 安全 防护 无 限 扩充 的 能 力 。 

(4) 实施 主机 策略 : 对 网 络 中 的 各 节点 可 以 起 到 更 安全 的 防护 。 

(5) 应 用 更 为 广泛 ,如 可 以 提供 对 VPN 通信 的 更 好 支持 。 


5.4 防火墙 的 体系 结构 


防火 墙 在 网 络 中 的 部 署 位 置 也 称 为 防火 墙 的 体系 结构 ,常见 防火 墙 系统 的 体系 结构 有 
四 种 : 筛选 路 由 器 体系 结构 . 单 宿主 堡 驹 主机 体系 结构 、 双 宿主 堡 驳 主机 体系 结构 和 屏蔽 子 
网 体系 结构 。 


5.4.1 相关 概念 

1. 堡垒 主机 

防火 墙 系统 中 常 使 用 的 “堡垒 主机 ”(Bastion Hosb) 概念 ,最 初 由 美国 人 Marcus J. Ranum 
在 《Thinking About Firewall V2. 0: Beyond Perimeter Security) 一 书 中 提出 。 他 指出 ,保全 
主机 * 是 一 个 系统 ,作为 网 络 安全 的 一 个 关键 点 , 它 由 防火 墙 管理 员 来 标识 ”, 并 强调 “堡垒 主 
机 需要 各 位 注意 自身 的 安全 性 ,需要 定期 审核 ,并 使 用 经 过 安全 增强 的 软件 ”。 堡 公主 机 是 
一 种 被 强化 的 可 以 防御 攻击 的 计算 机 ,作为 进入 内 部 网 络 的 一 个 检查 点 ,以 达到 把 整个 网 络 
的 安全 问题 集中 在 某 个 主机 上 解决 ,从 而 省 时 省 力 ,不 用 考虑 其 他 主机 的 安全 的 目的 。 堡 全 
主机 是 网 络 中 最 容易 受到 侵害 的 主机 ,所 以 堡垒 主 机 也 必须 是 自身 保护 最 完善 的 主机 。 在 
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防火 墙 系 统 中 包 过 滤 路 由 器 和 应 用 代理 服务 器 均 可 视 为 堡垒 主机 。 

2. 非 军事 区 

非 军事 区 (Demilitarized Zone,DMZ) 也 可 称 为 “隔离 区 ”。 它 是 为 了 解决 安装 防火 墙 后 
外 部 网 络 不 能 访问 内 部 网 络 服务 器 的 问题 ,而 设立 的 一 个 非 安全 系统 与 安全 系统 之 间 的 组 
冲 区 ,这 个 缓冲 区 位 于 内 部 网 络 和 外 部 网 络 之 间 的 一 个 特定 的 网 络 区域 , 在 这 个 网 络 区 域内 
可 以 放置 一 些 必须 公开 的 服务 器 设施 ,如 企业 Web 服务 器 .FTP 服务 器 等 。 另 一 方面 , 通 
过 这 样 一 个 DMZ, 可 更 加 有 效 地 保护 内 部 网 络 ,因为 这 种 网 络 部 署 , 对 攻击 者 来 说 又 增加 了 
一 道 可 起 到 缓冲 作用 的 关卡 。 图 5-4 为 DMZ 的 示意 图 。 


内 部 网 络 


5-4 DMZ 示意 图 


5.4.2 筛选 路 由 器 体系 结构 

筛选 路 由 器 体系 结构 是 指 通过 包 过 滤 防 火 墙 构建 网 络 的 第 一 道 防线 。 创 建 相应 的 过 滤 
策略 时 对 网 络 管理 人 员 的 TCP/IP 的 知识 有 相当 的 要 求 ,如 果 筛 选 路 由 器 被 攻破 ,那么 内 部 
网 络 将 变 得 十 分 危险 。 使 用 该 体系 结构 的 防火 墙 不 能 够 隐藏 内 部 网 络 的 信息 ,不 具备 监视 
和 日 志 记录 功能 。 典 型 的 筛选 路 由 器 体系 结构 如 图 5-5 所 示 。 


| Ea 
i ~ 
1 筛选 路 由 器 
图 5-5 ”第 选 路 由 器 体系 结构 
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采用 这 种 防火 墙 体 系 结构 的 好 处 在 于 价格 低廉 。 现 有 的 路 由 器 通常 已 经 具有 这 样 的 功 
能 。 通 过 在 包 过 滤 路 由 器 的 基础 上 增加 其 他 的 安全 措施 ,就 可 以 形成 更 加 完善 的 安全 防护 
体系 。 


5.4.3 单 宿主 堡垒 主机 体系 结构 


单 宿主 堡垒 主机 体系 结构 由 包 过 滤 路 由 器 和 保全 主机 组 成 。 单 宿主 堡 双 主机 通常 是 一 
个 应 用 级 网 关 防 火 墙 。 外 部 路 由 器 配置 把 所 有 进来 的 数据 发 送 到 堡垒 主 机 上 ,并 且 所 有 内 
部 客户 端 配置 成 所 有 出 去 的 数据 都 发 送 到 这 台 堡 公主 机 上 。 然 后 堡垒 主机 以 设 定 的 安全 规 
则 作为 依据 检验 这 些 数据 。 该 防火 墙 系统 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 要 高 , 它 实 
现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 安全 (代理 服务 ) 。 

这 种 类 型 的 防火 墙 主要 的 缺点 就 是 可 以 重 配置 路 由 器 使 信息 直接 进入 内 部 网 络 ,而 完 
全 绕 过 堡垒 主机 。 此 外 ,用 户 可 以 重新 配置 他 们 的 机 器 绕 过 堡垒 主机 把 信息 直接 发 送 到 路 
由 器 上 。 典 型 的 单 宿主 堡垒 主机 体系 结构 如 图 5-6 所 示 。 


不 允许 访问 堡垒 
主机 外 的 主机 ， 
只 允许 外 部 和 堡 
又 主机 通信 
堡垒 主机 
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图 5-6 单 宿 主 堡垒 主机 体系 结构 


5.4.4 双 宿 主 堡垒 主机 体系 结构 


双 宿 主 保全 主机 体系 结构 与 单 宿主 煲 垒 主机 体系 结构 的 区 别 是 , 双 宿 主 堡垒 主机 有 两 
块 网 卡 ,一 块 连接 内 部 网 络 ,一 块 连接 包 过 滤 路 由 器 。 双 宿主 保 垒 主机 在 应 用 层 提供 代理 服 
务 。 双 宿主 堡垒 主机 体系 结构 可 以 构造 更 加 安全 的 防火 墙 系统 。 双 宿主 堡垒 主机 有 两 个 网 
络 接口 ,但 是 主机 在 两 个 端口 之 间 直 接 转 发 信息 的 功能 被 关闭 。 在 物理 结构 上 保证 了 所 有 
去 往 内 部 网 络 的 信息 必须 经 过 堡垒 主机 。 典 型 的 双 宿 主 堡垒 主机 体系 结构 如 图 5-7 所 示 。 
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5-7 双 宿主 堡垒 主机 体系 结构 


5.4.5 屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 使 用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 , 它 支持 网 络 层 和 应 用 层 
安全 功能 。 它 是 最 安全 的 防火 墙 体系 结构 之 一 ,在 定义 了 非 军事 区 (CDMZ) , 即 屏蔽 子 网 后 ， 
内 外 部 网 络 均 可 以 访问 屏蔽 子 网 ,但 禁止 它们 穿 过 屏 项 子 网 通信 。 网 络 管理 员 通 常 将 保全 
主机 、 信 息 服 务 器 .Modem 组 ,以 及 其 他 公用 服务 器 放 在 DMZ 网 络 中 。 在 子 网 屏蔽 防火 墙 
体系 结构 中 ,外 部 防火 墙 抵挡 外 部 的 攻击 并 管理 所 有 内 部 网 络 对 DMZ 的 访问 。 内 部 防火 
墙 管理 DMZ 对 于 内 部 网 络 的 访问 。 内 部 防火 墙 是 内 部 网 络 的 第 二 道 安 全 防线 , 当 外 部 防 
火 墙 失 效 的 时 候 , 它 还 可 以 起 到 保护 内 部 网 络 的 作用 。 而 内 部 网 络 对 于 外 部 网 络 的 访问 由 
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内 部 防火 墙 和 位 于 DMZ 的 堡 令 主 机 控制 。 在 这 样 的 结构 里 ,攻击 者 必须 通过 三 个 独立 的 
区 域 ( 外 部 防火 墙 . 内 部 防火 墙 和 堡 从 主机 ) 才 能够 到 达 内 部 网 络 。 典 型 的 屏蔽 子 网 体系 结 


构 如 图 5-8 所 示 。 
可 筛选 路 由 器 ”筛选 路 由 器 ”筛选 路 由 器 ww 
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保 对 主机 服务 器 


5-8 屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 是 最 安全 的 防火 墙 体系 结构 之 一 ,其 最 大 的 缺点 是 需要 使 用 的 设备 
较 多 ,造价 高 ,不 太 适 用 于 中 小 规模 的 网 络 环境 。 


5.5 ”防火墙 的 常见 产品 


在 5.2 节 中 已 经 介绍 了 常见 的 个 人 防火 墙 产品 ,目前 常见 的 企业 防火 墙 产 品 主要 分 为 
基于 代理 服务 方式 和 基于 状态 检测 方式 两 大 类 ,以 下 简单 介绍 几 种 常见 的 企业 级 防火 墙 。 

1. Firewall-1(CheckPoint 公司 ) 

Firewall-1 是 最 为 流行 一 种 防火 墙 ,属于 UNIX、Windows NT 平台 上 的 软件 防火 墙 , 属 
于 状态 检测 型 ,支持 网 络 地 址 翻译 (NAT) ,流量 分 担 .VPN、 加 密 认证 等 功能 。 其 综合 性 能 
较为 优秀 ,因为 首先 其 安全 控制 力度 很 高 ,可 以 进行 基于 内 容 的 安全 检查 (例如 对 URL 进 
行 控制 ); 对 某 些 应 用 (如 FTP) , 它 甚 至 可 以 限制 可 使 用 的 命令 。 其 次 , 它 不 仅 可 以 基于 地 
址 、 应 用 设置 过 滤 规 则 ,而 且 还 提供 了 多 种 用 户 认证 机 制 ,如 User Authentication .Client 
Authentication 和 Session Authentication ,使 安全 控制 方式 更 趋 灵 活 。 再 次 , Firewall-1l 是 
一 个 开放 的 安全 系统 ,提供 了 API, 用 户 可 以 根据 需要 配置 安全 检查 模块 ,如 病毒 检查 模块 ， 
而 且 还 提供 了 可 安装 在 Bay 路 由 器 .Lannet 交换 机 的 防火 墙 模块 。 

由 于 Firewall-1 采用 状态 检测 方式 ,因而 处 理性 能 也 较 高 ,对 于 10BaseT 接口 ,完全 可 
以 达到 线 速 ,号 称 可 达 80Mbps。 此 外 ,Firewall-1 的 用 户 管理 方式 也 很 优秀 ,用 户 可 以 通过 
GUI 同 防火 墙 管理 模块 通信 ,维护 安全 规则 ; 而 防火 墙 管 理 模块 则 负责 编译 安全 规则 ,并 下 
载 到 各 个 防火 墙 模块 中 。 对 于 用 户 而 言 , 管 理 线条 十 分 清晰 ,不 易 踊 漏 ,修改 方便 。 同 时 
Firewall-1 管理 界面 的 功能 丰富 ,不 仅 可 以 对 AXENT Raptor、Cisco PIX 等 防火 墙 进行 管 
理 ,还 可 以 在 管理 界面 中 对 Bay、Cisco、3Com 等 公司 的 路 由 器 进行 ACL 设置 。 

Firewall-1 存在 的 问题 主要 是 其 底层 操作 系统 对 路 由 的 支持 ,以 及 不 具备 ARP Proxy 
等 方面 ,特别 是 后 者 ,在 做 地 址 转换 (NAT) 时 ,不 仅 要 配置 防火 墙 ,还 要 对 操作 系统 的 路 由 
表 进 行 修改 ,大 大 增加 了 NAT 配置 的 复杂 程度 。 
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2. PIX(Cisco 公司 ) 


PIX 是 典型 的 网 络 层 包 过 滤 专 用 防火 墙 ,属于 硬件 防火 墙 ,属于 状态 检测 型 ,支持 网 络 
地 址 翻译 (NAT) ,在 国内 的 163/169 网 络 上 面 应 用 很 多 。 由 于 它 采 用 了 专用 的 操作 系统 ， 
因此 减少 了 黑客 利用 操作 系统 Bug 攻击 的 可 能 性 。 就 性 能 而 言 , PIX 是 同类 产品 中 最 好 
的 ,对 100BaseT 可 达 线 速 。 因 此 ,对 于 数据 流量 要 求 高 的 场合 ,如 大 型 的 网 络 服务 提供 商 ， 
是 首选 的 防火 墙 产品 。 

Cisco 公司 同样 提供 了 集中 式 的 防火 墙 管理 工具 Cisco Security Policy Manager, 可 以 
通过 命令 行 方式 或 是 基于 Web 的 命令 行 方 式 对 PIX 进行 配置 ,但 这 种 方式 不 支持 集中 管 
理 模式 ,必须 对 每 台 设备 单独 进行 配置 , 且 配 置 复杂 的 过 滤 规 则 的 过 程 比较 烦琐 。 

其 主要 缺点 是 : 对 其 他 厂商 产品 的 支持 、 日 志 管 理事 件 管理 等 方面 没有 Check Point 
防火 墙 管 理 模块 的 功能 强大 ; 没有 能 力 防 御 应 用 层 的 攻击 、 无 法 进行 内 容 过 滤 , 如 Java、 
ActiveX 以 及 病毒 过 滤 等 。 

3. AXENT Raptor(AXENT 公司 ) 

与 Firewall-1 和 PIX 不 同 ,Raptor 完全 是 基于 代理 技术 的 软件 防火 墙 , 它 是 代理 服务 
型 防火 墙 中 的 佼佼 者 。 这 主要 体现 在 ,相对 于 其 他 代理 型 防火 墙 而 言 , 可 支持 的 应 用 类 型 
多 ; 相对 于 状态 检测 型 防火 墙 而 言 , 由 于 所 采用 的 技术 手段 不 同 , 使 得 Raptor 在 安全 控制 
的 力度 上 较 上 述 产品 更 加 细致 。Raptor 防火 墙 管理 界面 也 相当 简单 ,甚至 可 以 对 NT 服务 
器 的 读 、 写 操作 进行 控制 ,并 对 SMB(Server Message Block ) 进行 限制 。 对 Oracle 数据 库 ， 
Raptor 还 可 以 作为 SQL Net 的 代理 ,从 而 对 数据 库 操作 提供 更 好 的 保护 。 

缺点 : 由 于 Raptor 防火 墙 所 采用 的 技术 ,决定 了 其 处 理性 能 较 前 面 两 种 防火 墙 低 ; 而 
且 对 用 户 新 增 的 应 用 ,如 果 没 有 相应 的 代理 程序 ,就 不 可 能 使 用 该 防火 墙 。 

4. NetScreen(NetScreen 公司 ) 

NetScreen 独特 之 处 是 流量 控制 及 实时 监控 流量 控制 功能 ,为 网 络 管理 员 提供 了 全 部 
监测 和 管理 网 络 的 信息 ,诸如 DMZ 服务 器 负载 平衡 和 带宽 优先 级 设置 等 先进 功能 , 它 能 同 
时 响应 高 达 5000 条 防火 墙 策略 规则 ,以 及 VPN 加 密 (IPSec)VPN IPSec、DES、Triple 
DES ,而 且 支持 透明 的 无 IP 地 址 设置 。 

5. 天 融 信 网 络 卫士 NGFW4000-S( 天 融 信 公 司 ) 

北京 天 融 信 公司 的 网 络 卫士 是 我 国 第 一 套 自 主 版 权 的 防火 墙 系统 ,目前 在 我 国电 信 、 电 
子 教育 .科研 等 单位 广泛 使 用 。 它 由 防火 墙 和 管理 器 组 成 。 网 络 卫 士 NGFW4000-S 防火 
墙 是 我 国 首 创 的 核 检 测 防火 墙 ,更 加 安全 ,更 加 稳定 。 网 络 卫士 NGFW4000-S 防火 墙 系统 
集中 了 包 过 滤 防 火 墙 .应 用 代理 、 网 络 地 址 转换 (NAT) ,用户 身份 鉴别 .虚拟 专用 网 .Web 页 
面 保护 、 用 户 权限 控制 、 安 全 审计 、 攻 击 检测 \ 流 量 控制 与 计 费 等 功能 ,可 以 为 不 同类 型 的 
Internet 接 入 网 络 提供 全 方位 的 网 络 安全 服务 。 网 络 卫 士 防火墙 系统 是 由 国内 公司 设计 
的 ,因此 管理 界面 是 完全 中 文化 的 ,使 管理 工作 更 加 方便 ,因此 网 络 卫士 NGFW4000-S 防火 
墙 的 管理 界面 是 所 有 防火 墙 中 最 直观 的 。 网 络 卫士 NGFW4000-S 防火 墙 比较 适合 中 型 企 
业 的 网 络 安全 需求 。 

6. 东软 NetEye 4032 防火 墙 (东软 公司 ) 

NetEye 4032 防火 墙 是 NetEye 防火 墙 系列 中 的 最 新 版 本 ,该 系统 在 性 能 、 可 靠 性 管理 
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性 等 方面 大 大 提高 。 其 基于 状态 包 过 滤 的 流 过 滤 体 系 结构 ,保证 从 数据 链 路 层 到 应 用 层 的 
完全 高 性 能 过 滤 , 可 以 进行 应 用 级 插件 的 及 时 升级 、 攻 击 方式 的 及 时 响应 ,实现 动态 的 保障 
网 络 安全 。NetEye 防火 墙 4032 对 流 过 滤 引 擎 进行 了 优化 ,进一步 提高 了 性 能 和 稳定 性 , 同 
时 丰富 了 应 用 级 插件 ,安全 防御 插件 ,并 且 提 升 了 开发 相应 插件 的 速度 。 网 络 安全 本 身 是 动 
态 的 ,其 变化 非常 迅速 ,每 天 都 有 可 能 有 新 的 攻击 方式 产生 。 安 全 策略 必须 能 够 随 着 攻击 方 
式 的 产生 而 进行 动态 的 调整 ,这 样 才能 够 动态 地 保护 网 络 的 安全 。 基 于 状态 包 过 滤 的 流 过 
渡 体 系 结构 ,具有 动态 保护 网 络 安全 的 特性 ,使 NetEye 防火 墙 能 够 有 效 地 抵御 各 种 新 的 攻 
击 , 动 态 保障 网 络 安全 。 东 软 NetEye 4032 防火 墙 比 较 适 合 中 小 型 企业 的 网 络 安 全 需求 。 


习题 5 


. 什么 是 防火 墙 ? 简 述 防火 墙 的 功能 、 特 点 。 

. 简 述 防火 墙 的 主要 缺陷 。 

. 评价 防火 墙 的 性 能 有 哪些 指标 ? 

. 评价 防火 墙 的 功能 有 哪些 指标 ? 

. 简 述 防火 墙 规则 制定 的 两 种 原则 及 其 各 自 的 特点 。 
. 比较 包 过 滤 技 术 和 应 用 网 关 技 术 的 区 别 。 

. 简 述 堡垒 主机 和 非 军事 区 的 概念 。 

. 简 述 防火 墙 常见 的 体系 结构 ,比较 其 各 自 的 优 缺 点 。 
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入 侵 检测 技术 第 6 章 


入侵 检测 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 现 可 疑 传输 时 发 出 警报 
或 者 采取 主动 反应 措施 的 网 络 安 全 技术 。 入 侵 检测 作为 一 种 主动 式 的 安全 
防护 技术 ,已 经 成 为 构建 网 络 安全 防护 体系 的 重要 技术 手段 之 一 。 本 章 主要 
介绍 入侵 检测 的 基本 概念 、 体 系 结构 ,检测 技术 和 发 展 方向 等 内 容 。 


6.1 人 侵 检测 概述 


随 着 信息 和 网 络 技术 的 发 展 , 在 政治 .经 济 和 军事 等 利益 的 驱动 下 ,针对 
网 络 基础 设施 和 某 些 受 重点 关注 的 网 络 主机 (如 政府 机 构 的 官方 网 站 ) 的 攻 
击 呈 现 出 激增 的 趋势 。 在 攻击 手段 不 断 推陈出新 的 复杂 网 络 环境 下 ,依靠 传 
统 的 主机 加 固 和 网 络 防火 墙 等 被 动 的 安全 防御 措施 已 经 不 能 满足 现 有 的 网 
络 安全 需求 。 入 侵 检 测 技术 的 出 现 , 使 得 网 络 安全 防护 开始 向 主动 监测 和 被 
动 防护 相 结合 的 方向 发 展 ,为 网 络 安全 提供 了 多 层次 的 安全 保障 。 


6.1.1 入 侵 检 测 的 概念 


入 侵 检 测 (Intrusion Detection) 是 指 “ 通 过 对 行为 .安全 日 志 , 审 计数 据 或 
其 他 网 络 上 可 以 获取 的 信息 进行 分 析 , 对 系统 的 问 入 或 问 出 的 企图 进行 检 
测 ” 的 安全 技术 。 入 侵 检 测 系统 (Intrusion Detection System,IDS) 通 过 收集 
和 分 析 网 络 行为 .安全 日 志 , 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 
机 系统 中 若干 关键 点 的 信息 ,检查 网 络 或 系统 中 是 否 存 在 违反 安全 策略 的 行 
为 和 被 攻击 的 迹象 。 

入 侵 检 测 作为 近 20 年 来 新 出 现 的 一 种 主动 安全 防护 技术 ,提供 了 对 内 
部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响 
应 人 侵 。 目 前 入 侵 检 测 已 经 成 为 PPDR? 系统 安全 模型 中 不 可 或 缺 的 重要 安 
全 环节 。IDS 的 使 用 可 以 弥补 单纯 使 用 防火 墙 技术 的 诸多 局 限 性 ,如 不 能 阻 
止 内 部 攻击 ,不 能 提供 实时 的 入 侵 检测 ,不 能 主动 跟踪 入 侵 者 不 能 对 恶意 代 
码 进行 有 效 防护 等 。 作 为 一 种 新 型 的 计算 机 网 络 安全 技术 ,使 用 IDS 的 优点 


120 
ee 


是 不 仅 能 检测 来 自 网 络 外 部 的 入 侵 行为 ,同时 也 可 以 监测 到 内 部 网 络 用 户 的 异常 行为 和 误 
操作 行为 ,有 效 地 弥补 了 防火 墙 对 内 部 网 络 监管 乏力 的 缺陷 ,因此 被 认为 是 防火 墙 之 后 的 第 
二 道 安全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 。 

此 外 ,作为 一 种 主动 安全 防护 技术 ,IDS 还 可 以 实时 响应 检测 到 的 入 侵 行为 ,采取 诸如 
截断 攻击 者 网 络 连 接 等 方式 ,从 而 阻止 入 侵 行为 造成 的 破坏 后 果 持 续 和 进一步 扩大 。 


6.1.2 入 侵 检 测 的 历史 和 现状 


很 早 以 前 ,安全 专家 就 已 经 认识 到 ,应 该 对 用 户 的 行为 进行 适当 的 监控 ,以 防止 因 用 户 
恶意 或 错误 的 操作 ,破坏 对 网 络 系统 数据 和 运行 的 安全 性 。 伴 随 着 计算 机 网 络 的 攻 勃 发 展 ， 
对 和 人 侵 检 测 技术 的 研究 也 不 断 地 深入 ,其 应 用 的 领域 和 范围 也 在 不 断 地 扩大 。 

入 侵 检测 的 思想 在 三 十 多 年 前 就 已 经 萌芽 ,J. P. Anderson 在 1980 年 为 美国 空军 做 了 
一 份 题 为 "计算 机 安全 威胁 监控 与 监视 ?的 技术 报告 ,第 一 次 详细 阐述 了 入 侵 检测 的 概念 。 
报告 将 计算 机 系统 可 能 遭受 的 风险 和 威胁 分 为 外 部 入 侵 、 内 部 入侵 和 滥用 行为 三 种 ,并 提出 
了 使 用 审计 追踪 实施 对 入 侵 威 胁 的 监测 ,该 思想 为 基于 主机 的 入 侵 检测 提供 了 最 初 的 理论 
基础 。 然 而 由 于 当时 计算 机 网 络 并 不 普及 ,而 实施 针对 主机 的 入 侵 行为 影响 范围 有 限 ,因此 
这 一 设想 在 信息 安全 领域 并 未 受到 足够 的 重视 ,直到 以 Internet 为 代表 的 计算 机 网 络 技术 
兴起 以 后 ,入 侵 检 测 技术 才 真正 进入 了 高 速 发 展 的 阶段 。 

1983 年 到 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 斯 坦 福 研究 所 /计算 机 科学 实验 
室 (Stanford Research Institute/Compnuter Science Lab,SRI/CSL) 的 Peter Neumann 在 共 
同 主持 的 一 个 受 美国 海军 海 空 作战 系统 指挥 部 资助 的 研究 课题 中 实现 了 一 个 实时 入侵 检测 
系统 一 一 人 侵 检 测 专家 系统 (Intrusion Detection Expert Systems, IDES), 并 被 用 于 
Internet 的 前 身 ARPAnet 上 监控 用 户 的 验证 信息 。 这 是 第 一 个 在 一 个 应 用 中 运用 了 统计 
和 基于 规则 两 种 技术 的 实用 IDS, 是 入 侵 检 测 研究 中 最 有 影响 的 系统 之 一 。 其 中 最 显著 的 
一 个 贡献 是 ,首次 提出 了 一 个 较为 完备 的 IDS 的 抽象 模型 。 

1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 从 分 析 用 户 、 系 统 设备 与 程序 等 的 行为 特征 出 
发 ,进一步 改进 了 Denning 的 入 侵 检测 模型 ,并 于 1990 年 4 月 发 布 了 一 个 新 的 系统 ,可 以 同 
时 监控 网 络 中 不 同 站 点 上 的 用 户 。 

1998 年 11 月 ,Morris 蠕虫 在 短 短 12 小 时 内 感染 了 Internet 上 6200 多 台 计 算 机 ( 约 占 
当时 入 网 计算 机 总 数 的 10%) ,造成 Internet 持续 两 天 停机 。 该 事件 发 生 以 后 ,网 络 安全 问 
题 引 起 各 界 的 高 度 重视 ,促进 了 IDS 的 研究 和 开发 进程 。 

1990 年 ,加 州 大 学 戴 维 斯 分 校 的 L. T. Heberlein 等 人 在 论文 《A Network Security 
Monitor》 中 提出 了 基于 网 络 的 入 侵 检测 概念 ,即将 网 络 数 据 流 作为 审计 数据 的 来 源 , 通 过 主 
动 监 视 网 络 信息 流 来 最 终 发 现 可 疑 的 行为 。 在 L. TI. Heberlein 的 领导 下 开发 出 的 网 络 安 
全 监视 (Network Security Monitor, NSM) 系 统 是 第 一 个 基于 网 络 的 IDS, 为 入 侵 检 测 的 发 
展 历史 掀 开 了 新 的 一 页 。 

1991 年 ,在 美国 空军 .国家 安全 局 和 能 源 部 的 共同 资助 下 , Haystack 实验 室 和 Heberlein 
等 人 开展 了 对 分 布 式 IDS(Distributed IDS,DIDS) 的 研究 ,DIDS 将 基于 主机 和 基于 网 络 的 
检测 方法 集成 到 一 起 ,采用 分 层 体系 结构 ,包括 数据 局 .事件 .主体 上下文、 威胁 、 安 全 状态 
等 六 层 。 系 统 由 传感器 ,管理 器 和 中 央 数 据 处 理 器 构成 。DIDS 成 为 IDS 发 展 历史 上 的 又 
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从 20 世纪 90 年 代 到 现在 ,IDS 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 , 全 球 众多 安全 研究 
机 构 都 在 开展 人 侵 检测 的 研究 ,许多 新 的 入 侵 检测 技术 被 应 用 到 IDS 产品 中 ,并 在 智能 化 
和 分 布 式 两 个 方向 取得 了 长 足 的 进展 。 目 前 入 侵 检 测 品 主要 厂商 有 ISS 公司 (RealSecure) 、 
Axent 公司 (ITA、ESM) 以 及 NAI(CyberCopMonitor) 等 ,他 们 都 在 入侵 检测 技术 上 有 多 年 
的 研究 。 其 中 以 ISS 公司 的 RealSecured 的 智能 攻击 识别 技术 最 为 突出 。 


6.1.3 入 侵 检 测 的 标准 化 


随 着 计算 机 网 络 资源 共享 的 进一步 加 强 , 并 且 随 着 网 络 规模 的 扩大 ,网 络 人 侵 的 方式 、 
类 型 ,特征 各 不 相同 ,入 侵 活动 变 得 复杂 而 又 难以 捉摸 。 某 些 入 侵 的 活动 靠 单一 IDS 不 能 
检测 出 来 。 不 同 的 IDS 之 间 没 有 协作 ,结果 造成 缺少 某 种 入 侵 模式 而 导致 IDS 不 能 发 现 新 
的 入侵 活动 。 网 络 的 安全 也 要 求 IDS 能 够 与 访问 控制 \ 应 急 、 入 侵 追 踪 等 系统 交换 信息 , 相 
互 协 作 , 形 成 一 个 整体 有 效 的 安全 保障 系统 。 然 而 ,要 达到 这 些 要 求 ,需要 一 个 标准 来 加 以 
指导 ,系统 之 间 要 有 一 个 约定 ,如 数据 交换 的 格式 .协作 方式 等 。 

1. IDS 标准 研究 状况 

为 了 提高 IDS 产品 、 组 件 及 与 其 他 安全 产品 之 间 的 互 操作 性 ,美国 国防 高 级 研究 计划 
署 (The Defense Advanced Research Projects Agency, DARPA) 和 互联 网 工程 任务 组 
(Internet Engineering Task Force,IETF) 的 入 侵 检 测 工作 组 (Intrusion Detection Working 
Group,IDWG) 发 起 制定 了 一 系列 IDS 的 标准 草案 。 

IDWG 主要 负责 制定 入 侵 检 测 响 应 系统 之 间 共 享 信息 的 数据 格式 和 交换 信息 的 方式 ， 
以 及 满足 系统 管理 的 需要 。IDWG 的 任务 是 ,对 于 IDS、 响 应 系统 和 它们 需要 交互 的 管理 系 
统 之 间 的 共享 信息 ,定义 数据 格式 和 交换 程序 。IDWG 提出 的 建议 草案 包括 三 部 分 内 容 : 
入 侵 检 测 消 息 交 换 格式 (Intrusion Detection Message Exchange Format,IDMEF)、 入 侵 检 
测 交换 协议 (Intrusion Detection Exchange Protocol,IDXP) 以 及 隧道 模型 (Tunnel Profile,TP) 。 

IDMEF 描述 了 一 种 表示 IDS 输出 消息 的 数据 模型 ,并 且 解释 了 使 用 这 个 模型 的 基本 
原理 。IDMEF 数据 模型 以 面向 对 象 的 形式 表示 分 析 器 发 送 给 管理 器 的 警报 数据 。 数 据 模 
型 的 设计 目标 是 用 一 种 明确 的 方式 提供 对 警报 的 标准 表示 法 ,并 描述 简单 警报 和 复杂 警报 
之 间 的 关系 。 该 数据 模型 用 XML( 可 扩展 的 标识 语言 ) 实 现 。 自 动 的 IDS 能 够 使 用 IDMEF 
提供 的 标准 数据 格式 ,来 对 可 疑 事 件 发 出 警报 。 这 种 标准 格式 的 发 展 将 使 得 在 商业 、 开 放 资 
源 和 研究 系统 之 间 实 现 协同 工作 的 能 力 ,同时 允许 使 用 者 根据 他 们 的 强 点 和 弱点 获得 最 佳 
的 实现 设备 。 实 现 IDMEF 最 适合 的 地 方 是 入 侵 检 测 分 析 器 (或 称 为 “探测 器 ”) 和 接收 警报 
的 管理 器 (或 称 为 "控制 台 ”) 之 间 的 数据 信道 。 

IDXP 是 一 个 用 于 入 侵 检测 实体 之 间 交 换 数 据 的 应 用 层 协议 ,能够 实现 IDMEF 消息 、 
非 结 构 文 本 和 二 进 制 数据 之 间 的 交换 ,并 提供 面向 连接 协议 的 双方 认证 、 完 整 性 和 保密 性 等 
安全 特征 。IDXP 模型 包括 建立 连接 、 传 输 数 据 和 断 开 连接 。 

DARPA 提出 的 建议 是 通用 入 侵 检测 框架 (Common Intrusion Detection Framework， 
CIDF) ,最 早 由 加 州 大 学 戴 维 斯 分 校 安全 实验 室 主持 起 草 工作 。CIDF 主要 介绍 了 一 种 通用 
入 侵 说 明 语 言 (CISL) ,用 来 表示 系统 事件 ,分析 结 果 和 响应 措施 。 为 了 把 IDS 从 逻辑 上 分 
为 面向 任务 的 组 件 ,CIDF 试图 规范 一 种 通用 的 语言 格式 和 编码 方式 以 表示 在 组 件 边界 传 
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递 的 数据 。CIDF 所 做 的 工作 主要 包括 四 部 分 : IDS 的 体系 结构 .通信 体制 、 描 述 语言 和 应 
用 编程 接口 (APD) 。 

CIDF 根据 IDS 系统 通用 的 需求 以 及 现 有 的 IDS 系统 的 结构 ,将 IDS 系统 的 构成 划分 
为 五 类 组 件 : 事件 组 件 、 分 析 组 件 、 数 据 库 组 件 、 响 应 组 件 和 目录 服务 组 件 。 从 功能 的 角度 ， 
这 种 划分 体现 了 IDS 所 必须 具有 的 体系 结构 : 数据 获取 、 数 据 管理 、 数 据 分 析 、 行 为 响应 , 因 
此 具有 通用 性 。 这 些 组 件 以 GIDO( 统 一 入 侵 检 测 对 象 ) 格 式 进行 数据 交换 。GIDO 是 对 事 
件 进 行 编码 的 标准 通用 格式 (由 CIDF 描述 语言 CISL 定义 )。 这 里 的 组 件 只 是 逻辑 实体 ， 
一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 能 是 多 个 计算 机 上 的 多 个 
进程 。 

CIDF 组 件 在 一 个 分 层 的 体系 结构 里 进行 通信 ,这 个 体系 结构 包括 三 层 : GIDO 层 、 消 
息 层 和 协商 传输 层 。GIDO 层 的 任务 就 是 提高 组 件 之 间 的 互 操作 性 ,就 如 何 表示 各 种 各 样 
的 事件 做 了 详细 的 定义 。 消 息 层 确 保 被 加 密 认证 消息 在 防火 墙 或 NAT 等 设备 之 间 传 输 过 
程 中 的 可 靠 性 。 消 息 层 没有 携带 有 语义 的 任何 信息 , 它 只 关心 从 源 地 址 得 到 消息 并 送 到 目 
的 地 ; 相应 地 ,GIDO 层 只 考虑 所 传递 消息 的 语义 ,而 不 关心 这 些 消息 怎样 被 传递 。 协 商 传 
输 层 规定 GIDO 在 各 个 组 件 之 间 的 传输 机 制 。 

CIDF 的 通信 机 制 主要 讨论 消息 的 封装 和 传递 ,分 为 四 个 方面 。 

(1) 匹配 服务 。 它 为 CIDF 组 件 提供 一 种 标准 的 统一 机 制 ,并 且 为 组 件 定位 共享 信息 
的 通信 “合作 者 ”。 因 此 极 大 提高 了 组 件 的 互 操作 性 ,减少 了 开发 多 组 件 入 侵 检 测 与 响应 系 
统 的 难度 。 

(2) 路 由 。 组 件 之 间 要 通信 时 ,有 时 需要 经 过 非 透 明 的 防火 墙 ,发 送 方 先 将 数据 包 传 递 
给 防火 墙 的 关联 代理 ,然后 再 由 此 代理 将 数据 包 转 发 到 目的 地 。CIDF 采用 了 源 路 由 和 绝 
对 路 由 。 

(3) 消息 层 。 消 息 层 的 使 用 达到 了 下 面 的 目标 : 提供 一 个 开放 的 体系 结构 ,使 通信 独 
立 于 操作 系统 、 编 程 语 言 和 网 络 协议 ,简化 向 CIDF 中 添加 新 的 组 件 , 支 持 认 证 与 保密 的 安 
全 要 求 ,同步 (封锁 进程 与 非 封 锁 进 程 ) 。 

(4) 消息 层 处 理 。 消 息 层 处 理 规定 了 消息 层 消息 的 处 理 方式 , 它 包括 四 个 规程 : 标准 
规程 .可 靠 传输 规程 .保密 规程 和 鉴定 规程 。 

CIDF 的 工作 重点 是 定义 了 一 种 应 用 层 的 语言 CISL, 用 来 描述 IDS 组 件 之 间 传 送 的 信 
息 , 以 及 制定 一 套 对 这 些 信息 进行 编码 的 协议 。CISL 使 用 了 一 种 被 称 为 S 表达 式 的 通用 语 
言 构 建 方法 ,S 表达 式 是 标识 符 和 数据 的 简单 循环 分 组 , 即 对 标记 加 上 数据 ,然后 封装 在 括 
号 内 完成 编组 。CISL 使 用 范例 对 各 种 事件 和 分 析 结 果 进 行 编码 ,把 编码 的 句子 进行 适当 的 
封装 ,就 得 到 了 GIDO。GIDO 的 构建 与 编码 是 CISL 的 重点 。 

CIDF 的 API 负责 GIDO 的 编码 、 解 码 和 传递 , 它 提供 的 调用 功能 使 得 程序 员 可 以 在 不 
了 解 编码 和 传递 过 程 具体 细节 的 情况 下 ,以 一 种 很 简单 的 方式 构建 和 传递 GIDO。 它 分 为 
两 类 : GIDO 编码 /解码 API 和 消息 层 API。 

CIDF 和 IDWG 都 还 不 成 熟 ,目前 仍 在 不 断 的 改进 和 完善 中 ,但 可 以 预见 ,标准 化 是 未 
来 的 IDS 必然 发 展 方向 ,而 CIDF 或 IDWG 很 可 能 会 代表 将 来 的 IDS 国际 通用 标准 。 

2. 入 侵 检 测 标准 研究 的 意义 

面 对 入 侵 活动 越 来 越 广 泛 ,并 且 许 多 攻击 是 经 过 长 时 期 准备 、 通 过 网 上 协作 开展 进行 
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时 ,IDS 和 它 的 组 件 之 间 共 享 这 种 类 型 攻击 信息 十 分 重要 。 共 享 让 系统 之 间 对 可 能 即将 来 
临 的 攻击 发 出 警报 。 主 要 的 意义 在 于 共享 攻击 特征 数据 ,安全 控制 系统 之 间 相互 协作 有 利 
于 产品 评估 。 

数据 交换 标准 化 解决 了 IDS 和 它 的 组 件 之 间 共 享 攻击 信息 问题 ,提高 了 IDS 产品 、 组 
件 及 与 其 他 安全 产品 之 间 的 互 操 作 性 。CIDF 使 得 IDS 系统 能 够 划分 为 具有 不 同 功能 的 模 
型 组 件 , 在 不 同 于 最 初 被 创建 的 环境 下 ,这 些 组 件 依然 能 够 被 重新 使 用 。 同 时 ,CIDF 解决 
了 不 同 IDS 的 互 操作 性 和 共存 问题 。 它 所 提供 的 标准 数据 格式 ,使 得 IDS 中 的 各 类 数据 可 
以 在 不 同 的 系统 之 间 传 递 并 共享 。CIDF 的 完善 的 互 用 性 标准 以 及 最 终 建立 的 一 套 开发 接 
口 和 支持 工具 ,提供 了 独立 开发 部 分 组 件 的 能 力 。 

尽管 计算 机 网 络 资源 共享 在 进一步 加 强 ,网络 规模 在 不 断 扩大 ,网络 人 侵 的 方式 .类 型 、 
特征 各 不 相同 ,入 侵 活 动 变 得 复杂 而 又 难以 捉摸 ,只 要 有 统一 的 入侵 检测 标准 ,就 能 够 检测 
出 单一 的 IDS 不 能 检测 出 来 的 某 些 入 侵 活 动 。 而 且 ,标准 的 制定 使 得 不 同 的 IDS 之 间 存 在 
协作 ,形成 某 种 入 侵 模式 使 得 IDS 能 够 发 现 新 的 入 侵 活动 。 同 时 IDS 能 够 与 访问 控制 ,应 
急 、 人 侵 追 踪 等 系统 交换 信息 ,相互 协作 ,形成 一 个 整体 有 效 的 安全 保障 系统 ,满足 网 络 安全 
的 需求 。 

3. 我 国 IDS 标准 化 现状 

我 国 在 IDS 标准 化 方面 的 研究 起 步 较 晚 ,尚未 形成 完善 的 IDS 技术 标准 体系 ,但 目前 
国内 也 已 经 着 手 制定 相关 的 技术 标准 .并 已 经 在 2006 年 推出 了 入 侵 检测 技术 要 求 和 测试 评 
价 方法 (GBT 20275 一 2006) 等 一 系列 相应 的 国家 标准 。 


6.2 人 侵 检 测 系统 分 类 


对 于 IDS 的 分 类 目前 存在 多 种 方法 ,主要 的 分 类 方法 包括 按 入 侵 检 测 数据 的 来 源 分 
类 , 按 使 用 的 入 侵 检测 分 析 方法 分 类 、 按 体系 结构 分 类 以 及 一 些 其 他 的 分 类 方法 。 


6.2.1 按 入 侵 检 测 的 数据 来 源 分 类 


按 入 侵 检测 所 监测 的 数据 来 源 可 以 将 入 侵 检测 分 为 基于 主机 的 入 侵 检 测 (Host-based 
IDS, HIDS) 和 基于 网 络 的 入 侵 检测 (Network-based IDS,NIDS) 以 及 混合 分 布 式 人 侵 检测 
(Hybrid Distributed IDS, HDIDS) 等 三 类 。 

1. HIDS 


HIDS 以 主机 数据 作为 分 析 对 象 ,通过 分 析 主 机 内 部 活动 痕迹 ,如 系统 日 志 、 系 统 调用 、 
系统 关键 文件 完整 性 等 ,判断 主机 上 是 否 有 入 侵 行为 发 生 。 由 于 主机 数据 较 易 获 得 ,而 且 数 
据 真 实 性 较 高 ,因此 HIDS 一 般 来 说 能 够 较为 准确 地 检测 到 发 生 在 主机 系统 高 层 的 复杂 攻 
击 行为 。 例 如 ,HIDS 对 针对 文件 系统 所 进行 的 非法 访问 操作 序列 、 对 系统 关键 配置 参数 的 
修改 攻击 及 应 用 程序 的 异常 运行 情况 等 具有 和 较 高 的 识别 率 。 

由 于 运行 在 受 保护 主机 上 , 当 检 测 到 攻击 发 生 时 ,HIDS 可 以 快速 采取 措施 (如 关闭 端 
口 .终止 进程 ) 对 入 侵 行为 进行 响应 。HIDS 在 被 保护 的 主机 上 分 析 主 机 的 内 部 活动 ,需要 
占用 一 定 的 计算 资源 和 存储 资源 ,从 而 对 受 保护 主机 产生 一 定 的 资源 开销 。 此 外 ,HIDS 需 
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要 收集 主机 数据 ,不 能 及 时 、 正 确 采集 到 相应 的 数据 是 这 类 入 侵 检测 的 弱点 之 一 。 例 如 , 攻 
击 者 在 攻击 成 功 后 ,可 以 关闭 日 志 或 审计 系统 ,从 而 避 开 IDS。 

基于 应 用 的 IDS 是 一 类 特殊 的 HIDS。 其 使 用 的 检测 方法 是 针对 某 个 特定 任务 的 应 用 
程序 而 设计 ,其 数据 源 是 应 用 程序 的 日 志 信 息 、 应 用 程序 的 系统 调用 信息 、 应 用 程序 的 文件 
操作 系统 等 。 许 多 发 生 在 应 用 进程 级 别 的 攻击 行为 (如 缓冲 区 溢出 攻击 ) ,只 能 依靠 基于 应 
用 的 IDS 来 实现 ,而 无 法 依靠 基于 网 络 的 IDS 来 完成 。 

2. NIDS 

NIDS 以 一 种 或 者 多 种 网 络 数 据 作为 分 析 对 象 ,用 一 定 的 分 析 方 法 ,判断 在 主机 或 网 络 
中 是 否 有 入 侵 行 为 发 生 。NIDS 安装 在 被 保护 的 网 段 中 ,与 被 保护 主机 操作 系统 无 关 , 也 不 
会 增加 网 络 中 主机 的 负载 。 由 于 受 保护 主机 上 未 安装 相关 软件 ,因此 NIDS 无 法 发 现 主 机 
上 的 复杂 攻击 行为 , 且 发 现 攻击 后 无 法 直接 采取 响应 措施 。 一 般 来 说 ,一 旦 检测 到 了 攻击 行 
为 ,NIDS 的 响应 模块 可 向 其 他 安全 组 件 ( 如 防火 墙 ) 报 警 ,由 这 些 安全 组 件 对 攻击 采取 相应 
的 措施 ,如 通知 管理 员 ,中断 连接 ,为 司法 取证 收集 保存 会 话 记 录 等 。NIDS 通常 利用 一 个 
工作 在 混杂 模式 下 的 网 络 适 配器 来 实时 监视 原始 网 络 包 ,并 对 通过 网 络 的 所 有 通信 业务 进 
行 分 析 , 因 此 需要 性 能 优越 的 网 络 处 理 平台 。 

3. HDIDS 

虽然 基于 网 络 的 IDS 的 功能 很 强大 ,应 用 也 很 广泛 ,但 是 在 适应 现代 千 兆 比特 的 高 速 
网 络 和 交换 式 网 络 方面 也 有 许多 难以 克服 的 困难 。 而 且 基 于 主机 的 IDS 也 有 其 独特 功能 ， 
所 以 未 来 的 IDS 要 想 取 得 成 功 必须 将 基于 主机 和 基于 网 络 的 两 种 IDS 无 颖 地 结合 起 来 ,这 
就 是 HDIDS。 它 兼 有 前 两 种 IDS 的 优点 。 比 如 基于 主机 的 IDS 使 用 系统 日 志 作为 检测 依 
据 , 因 此 它们 在 确定 攻击 是 否 已 经 取得 成 功 时 与 基于 网 络 的 检测 系统 相 比 具有 更 大 的 准确 
性 。 在 这 方面 ,基于 主机 的 IDS 对 基于 网 络 的 IDS 是 一 个 很 好 的 补充 ,人 们 完全 可 以 使 用 
基于 网 络 的 IDS 提供 早期 报警 ,而 使 用 基于 主机 的 IDS 来 验证 攻击 是 否 取得 成 功 。HDIDS 
可 以 从 不 同 的 主机 系统 、 网 络 部 件 或 者 通过 网 络 监听 方式 收集 数据 ,这 些 系 统 可 以 利用 网 络 
数据 ,也 可 收集 分 析 来 自主 机 系统 的 高 层 事件 发 现 可 疑 行为 ,提供 集成 化 的 攻击 签名 、 检 测 、 
报告 和 事件 关联 功能 ,而 且 部 署 和 使 用 上 也 更 加 灵活 方便 。 对 分 布 式 人 侵 检测 方法 的 研究 
也 是 当前 网 络 安全 分 析 的 热点 之 一 。 


6.2.2 按 使 用 的 入 侵 检 测 分 析 方 法 分 类 


从 入 侵 检测 的 方法 即 数据 分 析 方 法 来 看 .目前 有 误 用 检测 (Misuse Detection)、 异 常 检 
测 (Anomaly Detection) 和 混合 检测 三 种 基本 的 入 侵 检测 方法 。 

1. 误 用 检测 

误 用 检测 有 时 也 被 称 为 基于 特征 的 检测 (Signature-based Detection) 或 基于 知识 的 检 
测 (Knowledge-based Detection)。 误 用 检测 根据 掌握 的 关于 入 侵 或 攻击 的 知识 来 检测 入 
侵 。 首先 ,通过 分 析 各 种 已 知 的 攻击 方法 、 手 段 和 漏洞 ,定义 入 侵 模 式 ( 攻 击 特征 集合 ,说 明 
和 人 侵 行为 或 事件 的 特征 、 条 件 、 排 列 和 事件 之 间 的 关系 ) ,组 建 入 侵 模式 库 。 在 此 基础 上 将 所 
捕获 到 的 与 待 检测 目标 有 关 的 流量 或 数据 (用 户 行为 ) 同 人 侵 模式 库 中 的 模式 或 规则 进行 比 
较 和 匹配 ,以 期 发 现 与 现存 入侵 模式 对 应 的 某 种 特定 的 入 侵 行 为 。 基 于 这 样 的 思想 , 误 用 检 
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测 技术 的 核心 是 事先 用 恰当 的 方法 分 析 、 提 取 并 表示 隐藏 在 具体 入 侵 行为 中 的 内 在 代表 性 
特征 ,形成 相应 的 入 侵 模 式 库 , 并 以 此 为 依据 实现 对 目标 流量 的 有 效 检测 和 行为 发 现 。 

由 于 根据 具体 的 入 侵 特征 模式 库 进行 匹配 判断 ,所 以 误 报 率 较 低 。 同 时 ,检测 的 匹配 条 
件 可 以 进行 清楚 的 描述 ,从 而 有 利于 安全 管理 人 员 采 取 清 晰 明确 的 预防 、 保 护 及 响应 措施 ， 
因此 ,当前 主流 的 商用 IDS 都 使 用 误 用 检测 方法 。 误 用 检测 的 主要 缺陷 是 对 入 侵 特 征 模式 
库 依赖 性 太 强 , 它 检 测 入 侵 能 力 取决 于 入 侵 特 征 模式 库 完 整 性 和 更 新 程度 ,所 以 不 能 检测 到 
模式 库 中 没有 现存 模式 的 未 知人 入侵 ,即使 是 对 已 知 的 入 侵 行 为 ,只 要 入 侵 者 将 其 稍 加 改变 ， 
也 会 很 容易 就 将 它 欺骗 ,从 而 发 生 漏 报 。 同 时 ,将 具体 入 侵 行为 .手段 抽象 成 人 侵 模式 比较 
困难 。 另 外 , 随 着 新 入 侵 行为 的 不 断 发 现 ,入 侵 检测 规则 或 模式 库 的 容量 和 规模 也 随 之 持续 
扩大 和 膨胀 ,从 而 增加 IDS 的 负担 并 严重 影响 入 侵 检测 的 效率 。 

2. 异常 检测 

异常 检测 (Misuse Detection) 方 式 首先 对 正常 状态 下 的 系统 行为 建立 模型 (预期 的 正常 
活动 行为 模型 ) ,然后 将 所 有 观测 到 的 和 目标 对 象 相关 的 活动 与 建立 的 系统 正常 行为 模型 进 
行 比较 ,将 与 系统 正常 行为 模型 不 相符 的 活动 判定 为 可 疑 或 人 侵 行为 。 

由 于 异常 检测 技术 的 基本 思想 是 将 违背 对 象 正 常 和 合法 行为 的 所 有 活动 判定 为 可 疑 或 
入 侵 行为 ,因此 从 理论 上 来 说 这 种 技术 能 够 比 误 用 检测 技术 发 现 更 多 的 入 侵 行为 (尤其 是 未 
知 的 入 侵 行 为 )。 然 而 ,对 象 正 常 和 合法 行为 模型 的 建立 本 身 是 一 个 复杂 且 动 态 变 化 着 的 过 
程 ,这 使 得 异常 检测 技术 在 进行 入侵 检测 时 暴露 出 许多 的 不 确定 性 。 由 于 误 警 率 较 高 ,一方 
面 它 可 能 会 把 对 象 正 常 和 合法 的 活动 判定 为 人 侵 , 另 一 方面 又 可 能 会 将 真正 的 入 侵 视 作 正 
常 和 合法 的 行为 。 这 种 技术 目前 主要 还 停留 在 研究 领域 而 尚未 被 普遍 地 应 用 于 商业 的 
IDS 中 。 

3. 混合 检测 

混合 检测 同时 使 用 以 上 两 种 方法 ,以 期 获得 两 者 的 优点 而 避免 其 缺点 。 目 前 通用 的 方 
法 是 : 以 模式 发 现 为 主 , 辅 以 异常 发 现 技术 。 


6.2.3 按 系统 体系 结构 分 类 


按照 系统 体系 结构 可 以 将 IDS 分 为 集中 式 IDS 和 分 布 式 IDS。 

1. 集中 式 IDS 

集中 式 IDS 由 一 个 集中 的 入 侵 检 测 服 务 器 和 可 能 分 布 于 不 同 主机 上 的 多 个 审计 程序 
组 成 ,审计 数据 由 分 散 的 主机 审计 程序 收集 后 传送 到 中 央 检 测 服务 器 ,由 服务 器 对 这 些 数据 
进行 分 析 处 理 。 集 中 式 IDS 最 大 的 优点 是 设计 简单 ,易于 实现 ,主要 用 于 小 型 网 络 中 的 人 
侵 检 测 。 集 中 式 IDS 在 可 伸缩 性 、 鲁 棒 性 和 可 配置 性 方面 存在 明显 缺陷 ,主要 表现 在 : 四 随 
着 网 络 规模 的 扩大 ,主机 审计 程序 和 服务 器 之 间 传 送 的 数据 量 会 又 增 ,增加 网 络 负 担 , 导 致 
网 络 性 能 恶化 ; @ 系 统 安全 性 比较 脆弱 ,一 旦 中 央 服 务 器 出 现 故 障 , 整 个 系统 就 会 陷入 瘫痪 
状态 ; @@ 根 据 各 个 主机 的 不 同 需求 配置 服务 器 非常 复杂 。 

2. 分 布 式 IDS 

分 布 式 IDS 主要 针对 比较 复杂 的 网 络 , 一 般 由 多 个 组 件 构成 ,各 组 件 可 以 选用 不 同 的 
检测 方法 ,协同 完成 检测 任务 。 分 布 式 IDS 有 利于 取 各 种 检测 方法 之 长 来 提高 入 侵 检测 的 
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效率 和 准确 性 。 分 布 式 IDS 的 各 个 组 件 分 布 在 网 络 中 不 同 的 计算 机 或 设备 上 ,其 分 布 性 主 
要 体现 在 数据 收集 和 数据 分 析 上 。 


6.2.4 其 他 分 类 方式 


根据 IDS 的 工作 方式 可 分 为 在 线 IDS 和 离线 IDS。 在 线 IDS 以 实时 联机 的 方式 进行 工 
作 , 就 是 在 系统 或 网 络 运行 过 程 中 实时 收集 、 分 析 相 关 信息 ,采用 某 种 检测 技术 发 掘 其 中 是 
和 否 存 在 人 侵 行为 ,一 旦 发 现 入侵 迹 象 立即 进行 响应 。 这 个 检测 过 程 是 自动 的 ,不 断 循 环 进行 
的 。 由 于 需要 实时 检测 攻击 行为 ,因此 对 主机 性 能 有 一 定 影 响 。 离 线 IDS 又 叫 事后 和 人 侵 检 
测 , 它 把 收集 到 的 信息 如 操作 系统 审计 记录 、 系 统 日 志和 网 络 数 据 等 存储 起 来 ,在 入 侵 发 生 
以 后 集中 地 对 存储 的 数据 进行 分 析 , 以 判断 系统 是 否 被 入 侵 ,并 采取 相应 的 措施 。 由 于 这 种 
检测 方式 不 具有 实时 性 ,因此 不 能 有 效 地 防范 和 响应 入 侵 行 为 。 但 是 离线 IDS 可 以 减少 对 
CPU 资源 和 其 他 系统 紧缺 资源 的 占用 ,提高 用 户 日 常任 务 使 用 效率 。 

根据 响应 方式 ,IDS 可 以 分 为 主动 响应 和 被 动 响应 系统 。 主 动 响应 对 于 发 现 的 入 侵 行 
为 进行 干预 以 阻 断 攻 击 ; 被 动 响应 仅 对 发 现 的 入 侵 行 为 进行 告警 和 日 志 记 录 。 

此 外 ,根据 系统 检测 的 工作 频率 ,IDS 还 可 细 分 为 连续 IDS、 周 期 性 IDS。 

需要 注意 的 是 上 述 的 分 类 方法 之 间 并 不 排斥 ,同一 个 IDS 可 能 分 属于 某 几 类 系统 。 


6.3 ”人 侵 检测 系统 模型 及 体系 结构 


6.3.1 入 侵 检 测 系统 模 型 
1. Denning 通用 模型 


最 早 的 入 侵 检 测 模型 由 Dorothy Denning 在 1986 年 提出 。 这 个 模型 与 具体 系统 和 有 具 
体 输入 无 关 , 对 此 后 的 大 部 分 实用 系统 都 很 有 借鉴 价值 。 图 6-1 给 出 了 这 个 IDS 通用 模型 。 


规则 设计 与 修改 


, 和 创建 

| . 

i | 全 | 提取 规则 aa 学 习 
更 新 | | 历史 活动 况 


图 6-1 Denning 通用 模型 


入 侵 检测 专家 系统 (IDES) 与 它 的 后 继 版 本 NIDES (Next-Generation Intrusion 
Detection Expert System) 均 完全 基于 Denning 的 模型 。 该 模型 的 最 大 缺点 是 它 没 有 包含 
已 知 系统 漏洞 或 攻击 方法 的 知识 ,而 这 些 知 识 在 许多 情况 下 是 非常 有 用 的 信息 。 

该 模型 由 以 下 六 个 主要 部 分 构成 。 

(1) 主体 (Subjects) : 启动 在 目标 系统 上 活动 的 实体 ,如 用 户 。 

(2) 对 象 (Objects) : 系统 资源 ,如 文件 .设备 、 命 令 等 。 
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(3) 审计 记录 (Audit Records): 由 三 Subject, Action, Object, Exception-Condition， 
Resource-Usage,Time-Stamp 过 构成 的 六 元 组 ,活动 (Action) 是 主体 对 目标 的 操作 ,对 操作 
系统 而 言 , 这 些 操作 包括 读 、 写 .登录 .退出 等 ; 异常 条 件 (Exception-Condition) 是 指 系统 对 
主体 的 该 活动 的 异常 报告 ,如 违反 系统 读 写 权 限 ; 资源 使 用 状况 (Resource-Usage) 是 系统 
的 资源 消耗 情况 ,如 CPU、 内 存 使 用 率 等 ; 时 间 戳 (Time-Stamp) 是 活动 发 生 时 间 。 

(4) 活动 简 档 (Activity Profile) : 用 以 保存 主体 正常 活动 的 有 关 信 息 , 具 体 实现 依赖 于 
检测 方法 ,在 统计 方法 中 从 事件 数量 、 频 度 ,资源 消耗 等 方面 度量 ,可 以 使 用 方差 .马尔 可 夫 
模型 等 方法 实现 。 

(5) 异常 记录 (Anomaly Record) : 由 二 Event,Time-stamp,Profile 过 组 成 ,用 以 表示 蜡 
常事 件 的 发 生 情 况 。 

(6) 活动 规则 : 规则 集 是 检查 人 侵 是 否 发 生 的 处 理 引 擎 ,结合 活动 简 档 用 专家 系统 或 
统计 方法 等 分 析 接 收 到 的 审计 记录 ,调整 内 部 规则 或 统计 信息 ,在 判断 有 入 侵 发 生 时 采取 相 
应 的 措施 。 

2. 公共 入 侵 检 测 框架 

因为 目前 大 部 分 的 人 侵 检测 系统 都 是 独立 研究 与 开发 的 ,不 同系 统 之 间 缺 乏 互 操作 性 
和 互 用 性 。 一 个 人 侵 检测 系统 的 模块 无 法 与 另 一 个 人 侵 检测 系统 的 模块 进行 数据 共享 ,在 
同一 台 主 机 上 两 个 不 同 的 入 侵 检测 系统 无 法 共存 ,为 了 验证 或 改进 某 个 部 分 的 功能 就 必须 
重 构 整个 人 侵 检测 系统 ,而 无 法 重用 现 有 的 系统 和 构件 。 

公共 入 侵 检 测 框架 (Common Intrusion Detection Framework,CIDF) 是 为 了 解决 不 同 
入 侵 检测 系统 的 互 操 作 性 和 共存 问题 而 提出 的 入 侵 检 测 的 框架 。 为 了 提高 入 侵 检 测 产 品 、 
组 件 及 其 他 安全 产品 之 间 的 互 操作 性 ,美国 国防 高 级 研究 计划 署 (DAPRA) 和 互联 网 工程 
任务 组 (IETF) 的 入 侵 检测 工作 组 (IDWG) 发 起 制定 了 一 系列 IDS 标准 化 建议 方案 ,从 体系 
结构 、 通 信 机 制 ,描述 语言 和 应 用 编程 接口 (APD) 等 方面 规范 了 IDS 的 标准 。 在 多 种 IDS 标 
准 化 体系 中 ,CIDF(Common Intrusion Detection Framework) 通 用 入 侵 检测 框架 逐渐 成 为 
了 主流 。CIDF 最 早 由 加 州 大 学 戴 维 斯 分 校 计算 机 安全 实验 室 主持 起 草 工作 并 于 1997 年 
初 正式 提出 。 

CIDF 是 一 个 通用 的 入 侵 检 测 系 统 模型 ,主要 由 四 个 部 分 组 成 : CIDF 的 体系 结构 .通信 
机 制 , 描 述 语言 和 应 用 编程 接口 (APD 。 

1) CIDF 的 体系 结构 

CIDF 在 IDES 和 NIDES 的 基础 上 提出 了 一 个 通用 模型 ,将 入 侵 检测 系统 分 为 四 个 基 
本 组 件 : 事件 产生 器 .事件 分 析 器 、 响 应 单元 和 事件 数据 库 , 如 图 6-2 所 示 。 

事件 产生 器 事件 分 析 器 
E 


A 


D -| R 


事件 数据 库 响应 单元 
图 6-2 CIDF 公共 入 侵 检 测 框 架 


响应 ”| 
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(1) 事件 产生 器 (Event Generators): 入侵 检测 系统 需要 分 析 的 数据 统称 为 事件 
(Event)。 可 以 是 基于 网 络 的 入 侵 检测 系统 中 网 络 中 的 数据 ,也 可 以 是 从 系统 日 志 或 其 他 途 
径 得 到 的 信息 。 事 件 产生 器 的 任务 是 从 入 侵 检 测 系 统 之 外 的 计算 环境 中 收集 事件 ,并 将 这 
些 事件 转换 成 CIDF 的 GIDO 格式 传送 给 其 他 组 件 。 

(2) 事件 分 析 器 (Event Analyzers) : 事件 分 析 器 分 析 从 其 他 组 件 收 到 的 GIDO ,并 将 产 
生 的 新 GIDO 再 传送 给 其 他 组 件 。 

(3) 事件 数据 库 (Event Databases) : 用 于 存储 GIDO。 

(4) 响应 单元 (Response Units) : 处 理 收 到 的 GIDO ,并 据 此 采取 相应 的 措施 。 

四 个 组 件 只 是 逻辑 实体 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 线程 或 进程 ,也 可 能 是 多 
个 计算 机 上 的 多 个 进程 ,它们 以 统一 入 侵 检 测 对 象 (Generalized Intrusion Detection 
Objects,GIDO) 格 式 进 行 数据 交换 。GIDO 是 对 事件 进行 编码 的 标准 通用 格式 。 此 格式 是 
由 CIDF 描述 语言 (CISL) 定 义 的 。GIDO 数据 流 可 以 是 发 生 在 系统 中 的 审计 事件 ,也 可 以 
是 对 审计 事件 的 分 析 结 果 。 

2) CIDF 的 通信 和 机制 

为 了 保证 各 个 组 件 之 间 安 全 高 效 地 通信 ,CIDF 将 通信 机 制 构 造成 一 个 三 层 模 型 : 
GIDO 层 、 消 息 层 和 协商 传输 层 。GIDO 层 定 义 事件 表示 方法 ,保证 各 组 件 能 正确 理解 相互 
之 间 传 输 的 各 种 数据 的 语义 。 消 息 层 负责 将 数据 从 发 送 方 传 递 到 接收 方 ,不 携带 任何 语义 
信息 。 协 商 传输 层 定义 各 个 组 件 间 的 传输 机 制 。 

3) CIDF 语言 

为 了 描述 IDR( 入 侵 检测 响应 ) 组 件 之 间 传 送 的 信息 ,以 及 对 这 些 信息 进行 编码 的 协议 ， 
CIDF 定义 了 公共 入 侵 规范 语言 (Common Intrusion Specification Language, CISL),CISL 
可 以 表示 CIDF 中 的 各 种 信息 ,如 原始 事件 信息 、 分 析 结 果 、 响 应 提示 等 。CISL 使 用 了 一 种 
被 称 为 S 表示 式 的 通用 语言 构建 方法 ,S 表达 式 可 以 将 标记 和 数据 进行 简单 的 递归 编组 , 即 
对 标记 加 上 数据 ,然后 封装 在 括号 内 完成 编组 。S 表达 式 以 语义 标识 符 (SID) 开 头 , 用 于 表 
示 编 组 列表 的 语义 ,如 (HostName,“math. com’”)。CISL 可 对 各 种 事件 和 分 析 结 果 进 行 编 
码 , 封 装 后 即 得 到 了 GIDO。 

4) CIDF 的 API 接口 

CIDF 的 API 负责 GIDO 的 编码 、 解 码 和 传递 .便于 程序 员 以 一 种 简单 的 方式 构建 和 传 
递 GIDO。 


6.3.2 入 侵 检 测 系 统 体 系 结构 


整体 上 来 说 ,IDS 的 体系 架构 主要 包括 集中 式 、 分 布 式 和 分 层 式 三 种 。 

1. 集中 式 体系 结构 

早期 的 IDS 基本 都 采用 集中 式 的 体系 结构 , 即 所 有 的 处 理 过 程 包括 数据 采集 、 分 析 都 
由 单一 的 主机 上 的 一 个 进程 来 完成 。 随 后 出 现 的 一 些 IDS 对 其 进行 了 改进 ,主要 是 数据 采 
集 上 使 用 了 分 布 式 的 处 理 方式 ,但 数据 的 分 析 、 入 侵 行 为 的 识别 还 是 由 单一 的 数据 分 析 服 务 
器 进行 来 完成 。 虽 然 这 种 方式 部 分 实现 了 分 布 式 处 理 , 但 本 质 上 仍然 属于 集中 式 的 体系 结 
构 , 如 图 6-3 所 示 。 


第 6 章 入 侵 检测 技 


数据 采集 和 分 析 数据 分 析 
| | 数据 采集 数据 采集 
数据 源 数据 源 
(a) 完全 集中 式 (b) 分 布 式 数据 采集 ， 集 中 式 数据 分 析 


6-3 ”集中 式 体系 结构 


使 用 集中 式 体系 结构 的 优点 是 ,集中 处 理 可 以 全 面 地 掌握 采集 到 的 数据 ,从 而 使 对 入 侵 
行为 的 分 析 更 加 精确 。 但 其 缺点 也 非常 明显 ,主要 表现 在 : 

(1) 可 扩展 性 差 , 单 一 主机 的 处 理 能 力 限 制 了 系统 应 用 的 规模 ,分 布 式 的 数据 采集 往往 
会 造成 较 高 网 络 数据 传输 的 负载 ; 

(2) 改变 配置 和 加 入 新 功能 困难 ,修改 系统 配置 或 是 使 新 的 功能 生效 ,必须 停止 IDS 工 
作 并 重新 启动 ; 

(3) 存在 单 点 失效 的 风险 ,如 果 IDS 的 中 央 入 侵 事件 分 析 器 失效 或 被 人 侵 者 破坏 ,整个 
IDS 系统 将 陷于 瘫痪 。 

2. 分 布 式 体系 结构 

随 着 网 络 规模 的 不 断 扩 大 ,使 用 集中 式 体系 结构 的 IDS 已 经 不 能 满足 大 规模 应 用 的 需 
要 。 因 此 分 布 式 技术 被 引入 到 IDS 中 ,使 用 分 布 式 体 系 结构 的 IDS 中 采用 了 多 个 代理 在 网 
络 的 各 部 分 分 别 执行 人 侵 检 测 ,并 协作 处 理 可 能 的 入 侵 行 为 ,其 优点 是 能 够 较 好 地 完成 数据 
的 采集 和 检测 内 外 部 的 入 侵 行 为 。 其 缺点 在 于 现 有 的 网 络 普 遍 采 用 的 是 层次 化 的 结构 , 纯 
分 布 式 的 入 侵 检 测 要 求 所 有 的 代理 处 于 同一 层次 上 ,如 果 代 理 所 处 的 层次 过 低 , 则 无 法 检测 
针对 网 络 上 层 的 入侵 行为 ,反之 代理 所 处 层次 过 高 , 则 无 法 检测 针对 网 络 下 层 的 入 侵 行为 。 
此 外 ,由 于 每 个 代理 处 于 对 等 的 地 位 , 均 无 法 获知 整体 的 网 络 数据 ,所 以 无 法 对 时 空 跨度 大 
的 入 侵 行为 进行 准确 的 识别 。 

3. 分 层 式 体系 结构 

受到 单个 主机 资源 的 限制 和 攻击 信息 的 分 布 性 影响 ,往往 需要 多 个 检测 单元 进行 协同 
处 理 , 才 能 够 应 对 高 层次 的 攻击 (如 协同 攻击 )。 因 此 采用 分 层 的 体系 结构 来 检测 日 趋 复杂 
化 的 网 络 入 侵 行为 是 一 个 较 好 的 解决 方案 。 在 使 用 分 层 体 系 结构 的 IDS 中 ,各 检测 单元 
(通常 是 智能 代理 ) 被 组 织 成 一 个 层次 化 的 树 状 结构 ,如 图 6-4 所 示 。 

在 分 层 体系 结构 中 ,最 底层 的 代理 负责 收集 所 有 的 基本 信息 ,然后 对 这 些 信息 进行 简单 
处 理 , 完 成 初步 的 分 析 。 其 特点 是 处 理 速 度 快 ,数据 量 大 ,但 仅 限于 检测 某 些 简 单 的 入 侵 
行为 。 

中 间 层 代理 起 连接 上 下 层 代 理 的 作用 ,一 方面 接收 并 处 理由 下 层 代 理 处 理 后 的 数据 , 另 
一 方面 可 以 进行 较 高 层次 的 关联 性 分 析 并 输出 结果 ; 同时 ,还 负责 向 高 层次 代理 进行 数据 
和 处 理 结果 通报 。 中 间 层 代理 的 加 入 减轻 了 中 央 控 制 台 的 负载 压力 ,并 提高 了 系统 的 可 伸 
缩 性 。 

中 央 控 制 台 处 于 最 高 的 层次 ,主要 负责 在 整体 上 对 各 级 代理 进行 协调 和 管理 。 此 外 ,其 
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中 央 监控 台 
-级 代理 | … -级 代理 
二 级 代理 | | 二 级 代理 | | 二 级 代理 | | 二 级 代理 
AM 级 代理 | | N 级 代理 A 级 代理 | | NA 级 代理 


6-4 分 层 式 体系 结构 


还 可 以 根据 网 络 环境 或 应 用 需求 的 变化 ,动态 调整 代理 之 间 的 层次 关系 ,实现 系统 的 动态 
调配 。 

完善 的 体系 结构 可 以 提高 IDS 整体 的 性 能 ,只 有 通过 制定 一 个 统一 的 标准 ,保证 IDS 
各 部 件 进行 有 效 的 信息 共享 和 协同 工作 ,才能 够 提高 IDS 整体 的 对 入 侵 行为 的 检测 效率 。 


6.4 人 侵 检 测 技术 及 发 展 方向 


对 各 种 事件 进行 分 析 , 从 中 发 现 违反 安全 策略 的 行为 是 IDS 的 核心 功能 。 一 般 而 言 ， 
入 侵 检测 方法 可 以 分 为 异常 检测 和 误 用 检测 两 类 。 

异常 检测 方法 主要 通过 正常 的 网 络 数据 或 者 用 户 的 正常 行为 建立 一 种 系统 正常 模式 
(Normal Profile) ,通过 衡量 和 正常 行为 模式 之 间 的 背离 程度 做 出 是 否 有 入 侵 或 者 异常 活动 
的 决策 。 这 种 方法 可 以 方便 地 检测 系统 中 从 未 出 现 过 的 攻击 类 型 (Novel Attack)。 

误 用 检测 ,又 称 为 基于 特征 的 检测 (Signature-based Detection) 。 误 用 检测 根据 某 种 已 
知 攻击 或 入 侵 的 具体 信息 建立 某 种 人 侵 或 攻击 的 模式 (Intrusion Profile/Pattern) ,通过 确 
定 网 络 数据 或 用 户 行为 与 此 模式 是 否 匹配 确定 其 是 否 为 此 类 攻击 。 这 种 方式 需要 维持 一 个 
入 侵 / 攻 击 类 型 特征 库 , 对 于 已 知 攻击 ,系统 具备 较 强 的 检测 能 力 ; 但 对 于 未 知 攻击 却 无 能 
为 力 。 因 此 , 误 用 入 侵 检测 需要 不 断 地 刷新 特征 库 从 而 保持 其 检测 能 力 的 不 断 扩展 。 

从 目前 研究 的 趋势 来 看 ,两 者 结合 的 检测 会 达到 更 好 的 效果 ,也 是 研究 的 重点 。 根 据 这 
两 种 不 同人 侵 检测 技术 进行 数据 分 析 时 ,可 以 分 为 基于 行为 的 检测 和 基于 知识 的 检测 。 


6.4.1 基于 行为 的 入 侵 检 测 技术 


基于 行为 的 检测 指 根据 使 用 者 的 行为 或 资源 使 用 状况 来 判断 是 否 有 入 侵 行为 ,而 不 依 
赖 于 具体 行为 是 否 出 现 来 检测 ,所 以 也 被 称 为 异常 检测 (Anomaly Detection) 。 基 于 行为 的 
检测 与 系统 相对 无 关 , 通 用 性 较 强 。 它 甚至 有 可 能 检测 出 以 前 未 出 现 过 的 攻击 方法 ,不 像 基 
于 知识 的 检测 那样 受 已 知性 的 限制 。 但 因为 不 可 能 对 整个 系统 内 的 所 有 用 户 行 为 进行 全 面 
的 描述 ,况且 每 个 用 户 的 行为 是 经 常 改 变 的 ,所 以 它 的 主要 缺陷 在 于 误 检 率 很 高 。 尤 其 在 用 
户 数目 众多 或 工作 目的 经 常 改 变 的 环境 中 。 其 次 由 于 统计 表 要 不 断 更 新 ,人 侵 者 如 果 知 道 
某 系 统 在 检测 器 的 监视 之 下 ,他 们 能 慢 慢 地 训练 检测 系统 ,以 至 于 最 初 认 为 是 异常 的 行为 ， 
经 一 段 时 间 训 练 后 也 认为 是 正常 的 了 。 基 于 行为 的 检测 方法 主要 有 以 下 三 种 。 
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1. 概率 统计 方法 


概率 统计 方法 是 基于 行为 的 入 侵 检测 中 应 用 最 早 也 是 最 多 的 一 种 方法 。 首 先 , 检 测 器 
根据 用 户 对 象 的 动作 为 每 个 用 户 都 建立 一 个 用 户 特 征 表 ,通过 比较 当前 特征 与 已 存储 定型 
的 以 前 特征 ,判断 是 否 异 常 行为 。 用 户 特 征 表 需要 根据 审计 记录 情况 不 断 地 加 以 更 新 。 用 
于 描述 特征 的 变量 类 型 有 如 下 几 个 。 

(1) 操作 密度 : 度量 操作 执行 的 速率 ,常用 于 检测 平均 有 多 长 时 间 觉 察 不 到 的 异常 
(2) 审计 记录 分 布 : 度量 在 最 新 记录 中 所 有 操作 类 型 的 分 布 。 

(3) 范畴 尺度 : 度量 在 一 定 动作 范畴 内 特定 操作 的 分 布 情况 。 

(4) 数值 尺度 : 度量 那些 产生 数值 结果 的 操作 ,如 CPU 使 用 量 .IVO 使 用 量 。 

这 些 变量 所 记录 的 具体 操作 包括 : CPU 的 使 用 ,1/O 的 使 用 ,使 用 地 点 及 时 间 ,邮件 使 
用 ,编辑 器 使 用 ,编译 器 使 用 ,所 创建 .删除 .访问 或 改变 的 目录 及 文件 ,网 络 上 的 活动 等 。 在 
SRI International 公司 的 和 人 侵 检测 专家 系统 (IDES) 中 给 出 了 一 个 特征 简 表 的 结构 : 


< 变量 名 ,行为 描述 ,例外 情况 ,资源 使 用 ,时 间 周 期 ,变量 类 型 ,门限 值 , 主体, 客体, 值 > 


其 中 的 变量 名 主体、 客体 唯一 确定 了 每 一 个 特征 简 表 ,特征 值 由 系统 根据 审计 数据 周期 性 
地 产生 .这 个 特征 值 是 所 有 有 悖 于 用 户 特征 的 异常 程度 值 的 函数 .如 果 假 设 Si ,S; ,…,S, 分 
别 是 用 于 描述 特征 的 变量 Mi ,Ms,…,M, 的 异常 程度 值 ,S; 值 越 大 说 明 异 常 程度 越 大 。 则 这 
个 特征 值 可 以 用 所 有 S; 值 的 加 权 平方 和 来 表示 : M 二 > )w XX ,其 中 a > 0 表示 每 一 特征 
的 权重 ,其 中 均值 为 w == M/n。 

根据 统计 可 以 设 定 检测 阔 值 ,如 图 6-5 所 示 ,根据 系统 正常 行为 集合 (填充 椭圆 体 ) 建 立 
正常 行为 模式 (Norm Profile) ,其 中 黑色 填充 圆圈 代表 质心 (Centroid) ,虚线 代表 一 定 检测 
精度 下 的 检测 阔 值 ; 这 样 , 即 可 得 到 一 个 基于 统计 的 简单 检测 器 设计 。 检 测 过 程 中 ,上 方 以 
及 右 侧 的 点 由 于 超出 设 定 的 阔 值 即 被 确定 为 人 侵 ; 但 据 图 6-5 所 知 , 左 侧 点 本 应 为 正常 ,但 
由 于 检测 器 阔 值 设置 的 原因 ,被 判定 为 和 人 侵 ( 误 报 )。 因 此 ,在 此 例 中 , 阔 值 的 设 定 对 于 检测 
器 的 性 能 而 言 至 关 重 要 。 


1 超出 统计 国 值 , 
! 确定 为 入 侵 ; 入 


a 


| 确定 为 入侵 ， 但 | 
事实 上 为 误 报 


1 1 
一 一 一 一 过 一 二 一 二 


图 6-5 基于 概率 统计 的 方法 


这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 。 但 也 有 一 些 不 足 之 处 ,如 : 统计 
检测 对 事件 发 生 的 次 序 不 敏感 ,也 就 是 说 ,完全 依靠 统计 理论 可 能 漏 检 那 些 利用 彼此 关联 事 
件 的 入 侵 行 为 。 其 次 ,定义 是 否 人 侵 的 判断 闻 值 也 比较 困难 。 阔 值 太 低 则 漏 检 率 提高 , 阔 值 
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太 高 则 误 检 率 提高 。 

2. 人 工 神经 网 络 

在 众多 的 入侵 检测 技术 中 ,人 工 神经 网 络 (Artificial Neural Network, ANN) 技 术 的 应 
用 显得 越 来 越 突出 。 神 经 网 络 是 比较 典型 的 非 线 性 分 析 方 法 。 将 神经 网 络 用 于 入 侵 检测 基 
本 上 可 以 看 作 一 个 模式 发 现 和 识别 的 问题 。 神 经 网 络 可 以 实现 监督 和 非 监 督学 习 条 件 下 的 
分 类 和 回归 工作 。 与 传统 的 统计 分 类 方法 相 比 ,神经 网 络 是 “模型 无 关 ” 的 ,表现 出 一 种 非 监 
督学 习 条 件 下 分 类 器 的 性 能 。 它 具有 人 能够 通过 调整 使 得 输出 在 特征 空间 中 允 近 任意 目标 的 
优点 。 二 十 多 年 来 ,神经 网 络 的 研究 取得 了 不 容 否 认 的 大 量 的 研究 成 果 。 在 工程 应 用 上 , 神 
经 网 络 的 应 用 越 来 越 广泛 。 神 经 网 络 独 特 的 性 质 及 其 强大 的 计算 能 力 已 为 科学 工作 者 和 工 
程 师 们 所 肯定 。1988 年 ,在 DARPA 的 《神经 网 络 研 究 报 告 ) 中 列举 了 各 种 神经 网 络 的 激动 
人 心 的 应 用 。 近 十 年 来 ,有 关 神 经 网 络 的 研究 以 及 应 用 已 经 成 为 国际 上 的 一 个 非常 重要 的 
热点 。 神 经 网 络 方法 的 一 个 重要 特性 就 是 它 的 自动 学 习 能 力 。 将 神经 网 络 用 于 入 侵 检 测 ， 
提供 给 网 络 一 些 正 常 或 者 异常 的 学 习 训 练 数据 ， 输入 隐 仿 输出 
网 络 通过 学 习 算 法 自动 调节 参数 ,收敛 于 一 个 稳 
定 状 态 。 然 后 可 将 训练 后 的 网 络 用 于 在 线 实 时 检 
测 或 者 离线 的 数据 判别 。 利 用 神经 网 络 检 测 入 侵 
的 基本 思想 是 用 一 系列 信息 单元 (命令 ) 训 练 神经 
单元 ,这 样 在 给 定 一 组 输入 后 ,就 可 能 预测 出 输 
出 。 实 验 表 明 UNIX 系统 管理 员 的 行为 几乎 全 是 
可 以 预测 的 ,对 于 一 般 用 户 , 不 可 预测 的 行为 也 只 
占 了 很 少 的 一 部 分 。 一 个 简单 的 用 于 入 侵 检测 的 图 6-6 基于 ANN 的 入 侵 检 测 系 统 模型 
神经 网 络 模型 如 图 6-6 所 示 。 

神经 网 络 方法 的 优点 在 于 能 更 好 地 处 理 原始 数据 的 随机 特性 , 即 不 需要 对 这 些 数据 作 
任何 统计 假设 ,并 且 有 和 较 好 的 抗 干 扰 能 力 。 虽 然 如 此 ,基于 神经 网 络 方法 的 入 侵 检测 也 存在 
一 些 缺陷 。 比 如 ,训练 数据 的 获取 非常 困难 (比如 网 络 流 数据 的 入 侵 类 型 判定 ) 。 神 经 网 络 
的 训练 和 学 习 需 要 大 量 的 准确 的 某 种 标定 入 侵 类 型 的 数据 ,而 通常 ,对 于 网 络 流 数据 以 及 系 
统 审计 日 志 数 据 的 分 析 十 分 耗 时 ; 并 且 ,很 多 攻击 类 型 仅仅 从 数据 包 的 层次 上 也 无 从 判断 。 
另外 ,由 于 神经 网 络 模型 无 关 的 特性 ,造成 人 们 对 攻击 本 质 认 知 的 缺失 。 这 些 问题 相信 随 着 
神经 网 络 技术 的 发 展 ,会 得 到 一 定 程度 的 解决 。 

3. 人 工 免疫 系统 

生物 的 免疫 系统 是 非常 复杂 的 自然 防御 系统 , 它 具有 分 析 、 学 习 进 入 体内 的 外 来 物质 ， 
并 通过 产生 抗体 来 消灭 人 侵 抗原 的 特点 。 免 疫 系 统 是 机 体 执行 免疫 功能 的 机 构 , 是 产生 免 
疫 应 答 的 物质 基础 。 生 物 免疫 系统 的 基本 功能 是 识别 “自身 ”(Self) 和 * 非 自身 ”(Noself) ,并 
将 * 非 自身 ”分 类 清除 。 生 物 免 疫 系 统 具有 免疫 识别 .免疫 记忆 、 免 疫 调节 和 免疫 宽容 等 功能 
特征 ,能 有 效 识别 外 来 入 侵 者 ,维持 机 体 本 身 的 平衡 ,保证 生物 体 自身 的 生存 和 发 展 。 其 中 
免疫 识别 是 指 免 疫 系 统 不 仅 能 够 识别 已 知 抗 原 ,同时 还 能 够 识别 未 知 抗原 ,免疫 记忆 则 是 指 
生物 免疫 系统 能 够 对 再 次 人 侵 的 抗原 发 生 快速 反应 ( 即 二 次 应 答 )。 从 信息 处 理 的 角度 来 
看 ,免疫 系统 是 一 个 自 适应 .自学 习 \ 自 组 织 并行 处 理 和 分 布 协调 的 复杂 系统 。 借 鉴 免疫 系 
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统 中 蕴涵 丰富 且 有 效 的 信息 处 理 机 制 , 针 对 计算 机 系统 和 网 络 抵抗 人 侵 的 安全 问题 ,可 以 建 
立 相 应 的 人 工 免疫 模型 和 算法 ,具有 十 分 广阔 的 应 用 前 景 。 

人 工 免疫 系统 (Artificial Immune System) 是 研究 .借鉴 和 利用 生物 免疫 系统 (这 里 主要 
是 指 人 类 的 免疫 系统 ) 各 种 原理 和 机 制 而 发 展 的 各 类 信息 处 理 技术 .计算 技术 及 其 在 工程 和 
科学 中 的 应 用 而 产生 的 各 种 智能 系统 的 统称 。 从 生物 的 免疫 系统 特点 出 发 可 以 发 现 ,IDS 
与 免疫 系统 具有 本 质 的 相似 性 : 免疫 系统 负责 识别 生物 体 * 自 身 ”" 和 “ 非 自 身 ” 的 细胞 ,清除 
异常 细胞 ,IDS 则 辨别 正常 和 异常 行为 模式 ; 生物 免疫 系统 对 抗原 的 初次 应 答 类 似 于 IDS 
异常 检测 ,可 检测 出 未 知 的 抗原 ; 生物 免疫 系统 第 二 次 应 答 即 利用 对 抗原 的 “记忆 ?引发 的 
再 次 应 答 与 误 用 检测 相 类 似 。 利 用 生物 免疫 系统 的 这 些 特 性 ,应 用 到 入 侵 检 测 领域 ,能 有 效 
地 阻止 和 预防 对 计算 机 系统 和 网 络 的 入 侵 行 为 。 

例如 ,可 以 设想 构建 基于 网 络 的 人 工 免疫 IDS, 系 统 主要 负责 对 网 络 上 传输 的 数据 实施 
监控 ,包括 网 络 数据 包 的 识别 和 检测 、 地 址 的 过 滤 等 。 利 用 人 工 免疫 系统 原理 的 重点 在 于 
“自身 ”和 * 非 自身 ”的 识别 。 在 基于 网 络 的 入 侵 检 测 模型 中 ,把 与 所 需要 的 计算 机 相连 的 网 
络 间 正常 的 TCP/IP 连接 集合 和 该 主机 系统 内 合法 的 操作 行为 定义 为 “自身 ”, 采 用 可 以 描 
述 TCP/IP 连接 特征 的 信息 ,例如 源 IP 地 址 .目的 IP 地 址 、 服 务 端 口 协议 类 型 . 包 的 数量 、 
字 节 数 .特定 错误 和 在 短 时 间 的 网 络 的 特定 服务 和 描述 系统 合法 操作 的 集合 来 表示 。 把 异 
常 的 TCP/IP 连接 集合 和 非法 的 系统 操作 集合 定义 为 非 自 身 ”。 

可 以 预见 ,人 工 免疫 系统 机 制 的 研究 对 未 来 IDS 的 构建 以 及 具体 检测 方法 的 研究 具有 
深远 的 影响 ,但 不 可 否认 的 是 其 仍然 不 能 彻底 解决 入 侵 检测 问题 。 一 些 包 括 伪装 和 策略 违 
背 的 攻击 ,不 涉及 特权 处 理 的 使 用 ,因此 ,使 用 这 种 方法 不 易 检测 出 此 类 攻击 。 


6.4.2 基于 知识 的 入 侵 检 测 技术 


基于 知识 的 检测 指 运用 已 知 攻击 方法 ,根据 已 定义 好 的 人 侵 模式 ,通过 判断 这 些 人 侵 模 
式 是 否 出 现 来 检测 。 因 为 很 大 一 部 分 的 入 侵 是 利用 了 系统 的 脆弱 性 ,通过 分 析 入 侵 过 程 的 
特征 、 条 件 、 排 列 以 及 事件 间 关 系 能 具体 描述 入 侵 行 为 的 迹象 。 基 于 知识 的 检测 也 被 称 为 误 
用 检测 (Misuse Detection)。 这 种 方法 由 于 依据 具体 特征 库 进行 判断 ,所 以 检测 准确 度 很 
高 ,并 且 因 为 检测 结果 有 明确 的 参照 ,也 为 系统 管理 员 做 出 相应 措施 提供 了 方便 。 主 要 缺陷 
在 于 与 具体 系统 依赖 性 太 强 ,不 但 系统 移植 性 不 好 ,维护 工作 量 大 ,而 且 将 具体 和 人 侵 手段 抽 
象 成 知识 也 很 困难 。 并 且 检 测 范围 受 已 知 知 识 的 局 限 ,尤其 是 难以 检测 出 内 部 人 员 的 入 侵 
行为 ,如 合法 用 户 的 泄漏 ,因为 这 些 入 侵 行为 并 没有 利用 系统 脆弱 性 。 基 于 知识 的 检测 方法 
大 致 有 以 下 三 种 。 

1. 专家 系统 


专家 系统 是 基于 知识 的 检测 中 运用 最 多 的 一 种 方法 。 将 有 关 入 侵 的 知识 转化 成 诺 
then 结构 的 规则 ,即将 构成 入 侵 所 要 求 的 条 件 转 化 为 f 部 分 ,将 发 现 入 侵 后 采取 的 相应 措 
施 转 化 成 then 部 分 。 当 其 中 某 个 或 某 部 分 条 件 满足 时 ,系统 就 判断 为 入 侵 行 为 发 生 。 其 中 
的 直 then 结构 构成 了 描述 具体 攻击 的 规则 库 ,状态 行为 及 其 语义 环境 可 根据 审计 事件 得 
到 ,推理 机 制 根据 规则 和 行为 完成 判断 工作 。 专 家 系统 存在 一 些 问 题 : 

(1) 不 适 于 处 理 大 批量 的 数据 。 由 于 专家 系统 中 使 用 的 规则 表达 式 一 般 采 用 解释 系统 
实现 ,所 以 速度 较 慢 ; 
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(2) 没有 提供 对 连续 有 序数 据 的 任何 处 理 ; 

(3) 不 能 处 理 不 确定 性 ; 

(4) 规则 一 般 是 由 人 制定 的 ,这 就 会 使 规则 受到 个 人 水 平 的 限制 ; 

(5) 规则 匹配 直接 依赖 原始 审计 数据 ,要 处 理 大 量 的 数据 。 

因为 这 些 缺 陷 , 专 家 系统 一 般 不 用 于 商业 产品 中 ,运用 较 多 的 是 特征 分 析 。 像 专家 系统 
一 样 ,特征 分 析 也 需要 知道 攻击 行为 的 具体 知识 。 但 是 ,攻击 方法 的 语义 描述 不 是 被 转化 为 
检测 规则 ,而 是 在 审计 记录 中 能 直接 找到 的 信息 形式 。 这 样 就 不 像 专家 系统 一 样 需要 处 理 
大 量 数据 ,从 而 大 大 提高 了 检测 效率 。 这 种 方法 的 缺陷 也 和 所 有 误 用 检测 方法 一 样 , 即 需要 
经 常 为 新 发 现 的 系统 漏洞 更 新 知识 库 。 另 外 ,由 于 对 不 同 操作 系统 平台 的 具体 攻击 方法 可 
能 不 同 ,以 及 不 同 平台 的 审计 方式 也 可 能 不 同 , 所 以 对 专家 系统 进行 构造 和 维护 的 工作 量 
较 大 。 

专家 系统 已 在 许多 IDS 中 使 用 ,这 包括 NIDES .DIDS 等 ,在 这 些 系统 中 都 对 专家 系统 
中 存在 的 问题 进行 了 不 同 程度 的 解决 。 

2. 模型 推理 

模型 推理 是 指 结合 攻击 脚本 推理 出 入 侵 行为 是 否 出 现 。 其 中 有 关 攻 击 者 行为 的 知识 被 
描述 为 : 攻击 者 目的 ,攻击 者 达到 此 目的 可 能 的 行为 ,以 及 对 系统 的 特殊 使 用 等 。 根 据 这 些 
知识 建立 攻击 脚本 库 , 每 一 个 脚本 都 由 一 系列 攻击 行为 组 成 。 检 测 时 先 将 这 些 攻 击 脚 本 的 
子 集 看 作 系统 正面 临 的 攻击 。 然 后 通过 一 个 称 为 预测 器 的 程序 模块 根据 当前 行为 模式 , 产 
生 下 一 个 需要 验证 的 攻击 脚本 子 集 ,并 将 它 传 给 决策 器 。 决 策 器 收 到 信息 后 ,根据 这 些 假 设 
的 攻击 行为 在 审计 记录 中 的 可 能 出 现 方式 ,将 它们 翻译 成 与 特定 系统 匹配 的 审计 记录 格式 。 
然后 在 审计 记录 中 寻找 相应 信息 来 确认 或 否认 这 些 攻击 。 初 始 攻击 脚本 子 集 的 假设 应 满 
足 : 易于 在 审计 记录 中 识别 ,并 且 出 现 频率 很 高 。 随 着 一 些 脚 本 被 确认 的 次 数 增多 , 另 一 些 
脚本 被 确认 的 次 数 减少 ,攻击 脚本 不 断 地 得 到 更 新 。 

模型 推理 方法 的 优越 性 有 : 对 不 确定 性 的 推理 有 合理 的 数学 理论 基础 ,同时 决策 器 使 
得 攻击 脚本 可 以 与 审计 记录 的 上 下 文 无 关 。 另 外 ,这 种 检测 方法 也 减少 了 需要 处 理 的 数据 
量 , 因 为 它 首先 按 脚本 类 型 检测 相应 类 型 是 否 出 现 , 然 后 再 检测 具体 的 事件 。 但 是 创建 入 侵 
检测 模型 的 工作 量 比 别 的 方法 要 大 ,并 且 在 系统 实现 中 ,决策 器 如 何 有 效 地 翻译 攻击 脚本 是 
个 关键 的 问题 。 

3. 状态 转换 分 析 

状态 转换 分 析 最 早 由 R. Kemmerer 提出 ,即将 状态 转换 图 应 用 于 入 侵 行为 的 分 析 。 状 
态 转换 法 将 人 侵 过 程 看 作 一 个 行为 序列 ,这 个 行为 序列 导致 系统 从 初始 状态 转 入 被 人 侵 状 
态 。 分 析 时 首先 针对 每 一 种 和 人 侵 方法 确定 系统 的 初始 状态 和 被 和 人 侵 状 态 , 以 及 导致 状态 转 
换 的 转换 条 件 , 即 导致 系统 进入 被 入侵 状态 必须 执行 的 操作 (特征 事件 )。 然 后 用 状态 转换 
图 来 表示 每 一 个 状态 和 特征 事件 ,这 些 事件 被 集成 于 模型 中 ,所 以 检测 时 不 需要 一 个 个 地 查 
找 审计 记录 。 但 是 ,状态 转换 是 针对 事件 序列 分 析 , 所 以 不 善于 分 析 过 分 复杂 的 事件 ,而 且 
不 能 检测 与 系统 状态 无 关 的 入 侵 。 

Petri 网 用 于 入 侵 行为 分 析 是 一 种 类 似 于 状态 转换 图 分 析 的 方法 。 利 用 Petri 网 的 有 利 
之 处 在 于 它 能 一 般 化 、 图 形 化 地 表达 状态 .并且 简洁 明了 。 虽 然 很 复杂 的 人 侵 特征 能 用 
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Petri 网 表达 得 很 简单 ,但 是 对 原始 数据 匹配 时 的 计算 量 却 会 很 大 。 图 6-7 是 这 种 方法 的 一 
个 简单 示例 ,表示 在 一 分 钟 内 如 果 登 录 失 败 的 次 数 超过 4 次 ,系统 便 发 出 警报 。 其 中 竖 线 代 
表 状 态 转换 ,如 果 在 状态 S; 发 生 登 录 失 败 , 则 产生 一 个 标志 变量 ,并 存储 事件 发 生 时 间 TT， 
同时 转 入 状态 S* 。 如 果 在 状态 S, 时 又 有 登录 失败 ,而 且 这 时 的 时 间 T, 一 了 ,过 60 秒 , 则 系 
统 转 和 人 状态 S; , 即 为 入侵 状 态 ,系统 发 出 警报 并 采取 相应 措施 。 
了 了 
登录 失败 ”登录 失败 。 登录 失败 。 登录 失败 


Cr 


6-7 ”Petri 网 分 析 登 录 过 程 


近年 来 , 随 着 网 络 安全 技术 的 发 展 ,出 现 了 一 些 新 的 入 侵 检 测 技术 ,其 中 很 多 入 侵 检测 
方法 既 不 属于 误 用 检测 也 不 属于 异常 检测 的 范围 ,而 是 可 用 于 上 述 两 类 检测 ,如 数据 挖掘 技 
术 ,智能 代理 技术 等 。 在 网 络 安 全 防护 的 过 程 中 应 该 充分 权衡 各 种 方法 的 利弊 ,综合 运用 这 
些 方法 ,才能 更 加 有 效 地 提高 IDS 对 入 侵 行 为 的 检测 效率 。 


6.4.3 ”入侵 检 测 方式 简单 实例 

1. 通过 监视 入 侵 端 口 /系统 线程 判别 入 侵 

监视 入侵 端口 : 网 络 上 的 通信 都 是 通过 端口 通信 的 ,不 同 的 端口 作用 不 同 。 使 用 浏览 
器 查看 网 页 ,是 通过 80 端口 ,在 IRC 中 聊天 是 通过 6667 端口 。 而 类 似 于 NETSPY 等 特 洛 
伊 木马 软件 , 则 通过 7306 或 者 其 他 端口 进行 通信 ,泄露 资料 。 如 果 用 软件 监视 7306 等 相应 
端口 ,就 可 以 监视 网 络 黑客 的 入 侵 。( 例 如 NukeNabber 软件 可 设 定 监 视 7306 端口 ,如 果 有 
人 扫描 该 端口 或 试图 进入 你 的 7306 端口 ,就 会 发 出 警告 ,同时 提示 攻击 者 的 地 址 ) 现 在 网 络 
上 的 特洛伊 木马 软件 很 多 ,所 以 要 监视 的 端口 也 很 多 。 当 然 , 要 特别 注意 ,如 果 软 件 告知 某 
个 端口 不 能 被 监视 ,说 明 该 端口 已 被 其 他 程序 占据 ,很 可 能 就 是 黑客 程序 ,应 想法 将 它 删除 。 
表 6-1 列举 了 一 些 常见 黑客 软件 及 其 占用 的 端口 。 

表 6-1 黑客 程序 及 占用 的 端口 


常见 黑客 程序 占用 端口 
7306 Netspy 
7307 New netspy, Procspy 
7308 New netspy,Spy 
12345 Netbus 
6680,8111,9910 New netbus 
31337 BO 


由 于 特洛伊 木马 程序 的 端口 可 任意 改变 ,就 产生 了 很 多 黑客 程序 变种 。 此 时 ,要 监视 所 
有 端口 就 比较 困难 。 在 这 种 情况 下 ,就 需要 监视 操作 系统 的 线程 。 也 就 是 说 ,看 看 电脑 目前 
有 多 少 端口 在 通信 。 可 以 用 检测 软件 TCPVIEW 来 进行 线程 监视 。 


2. 通过 分 析 入 侵 原 理 确 定 检测 策略 
拒绝 服务 (Denial of Service,DoS) 攻 击 是 目前 网 络 上 比较 普遍 的 入 侵 种 类 之 一 ,对 于 几 
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种 常见 的 DoS 攻击 ,分 析 如 下 。 

SYNFlood: 如 果 某 一 地 址 短 时 间 内 发 出 大 量 的 建立 连接 的 请 求 且 没有 ACK 回应 , 则 
证 明 此 IP 被 用 来 做 SYN 潭 没 攻击 (具体 的 源 IP 地 址 往往 不 能 说 明 任 何 问 题 ,并 且 这 种 方 
法 并 不 能 检查 出 所 有 的 SYN 漂 没 )。 

Land 攻击 : 伪造 IP 地 址 和 端口 号 ,并 将 源 地 址 和 端口 号 设置 成 与 目的 地 址 及 端口 相 
同 值 , 某 些 路 由 器 设备 及 一 些 操作 系统 遇 到 此 种 情况 就 会 不 能 正常 工作 甚至 出 现 死机 。 检 
测 : 检查 TCP 或 UDP 包 的 源 、 目 的 地 址 、 端 口号 是 否 相 同 即 可 发 觉 。 

PingofDeath: 检查 ICMP 数据 包 的 长 度 ,超过 一 定 范围 的 数据 包 一 定 是 恶意 的 行为 ， 
进而 判断 是 否 PingofDeath。 

smurf 攻击 : 伪造 被 攻击 者 的 IP 地 址 作为 源 地 址 向 广播 地 址 连续 地 发 出 icmp-echo 
包 , 当 众多 机 器 返回 信息 时 (实际 是 返回 给 了 受害 者 ) ,过 量 的 信息 会 使 被 攻击 者 及 其 网 段 上 
的 负载 上 升 ,甚至 造成 拒绝 服务 。 检 测 : 如 果 在 网 络 内 检测 到 目标 地 址 为 广播 地 址 的 
ICMP 包 或 ICMP 包 的 数量 在 短 时 间 内 上 升 许多 (正常 的 ping 程序 每 隔 一 秒 发 一 个 
ICMPecho 请 求 ) ,证 明 有 人 在 利用 这 种 方法 攻击 系统 。 


6.4.4 入 侵 检 测 技术 的 发 展 方向 


入 侵 检测 技术 经 过 多 年 的 研究 和 发 展 , 已 经 取得 了 显著 的 成 果 , 但 其 还 存在 一 些 问题 ， 
因此 未 来 的 研究 和 发 展 空间 仍然 巨大 。 

IDS 面临 的 主要 问题 如 下 。 

(1) 误 报 问 题 。 误 报 是 指 被 入侵 检测 系统 测 出 但 其 实 是 正常 及 合法 使 用 受 保护 网 络 和 
计算 机 的 警报 。 假 警报 会 干扰 用 户 的 正常 使 用 并 且 降 低 IDS 的 效率 。 攻 击 者 往往 是 利用 
包 结 构 伪 造 大 量 无 威胁 “正常 ? 假 警 报 ,以 迫使 网 络 管理 员 把 IDS 关 掉 。 

没有 IDS 可 以 完全 杜绝 误 报 问题 ,原因 在 于 缺乏 共享 信息 的 标准 机 制 和 集中 协调 的 机 
制 ,不 同 的 网 络 及 主机 有 不 同 的 安全 问题 ,不 同 的 入 侵 检测 系统 有 各 自 的 功能 ; 缺乏 分 析 数 
据 在 一 段 时 间 内 行为 的 能 力 ; 缺乏 有 效 跟踪 分 析 等 。 

(2) 检测 效率 问题 。 高 速 网 络 技术 ,尤其 是 交换 技术 以 及 加 密 信道 技术 的 发 展 ,使 得 通 
过 共享 网 段 侦 听 的 网 络 数据 采集 方法 显得 不 足 , 而 海量 的 通信 量 对 数据 分 析 也 提出 了 新 的 
要 求 。 

从 总 体 上 讲 , 目 前 除了 完善 常规 的 、 传 统 的 入侵 检 测 技术 外 ,IDS 应 重点 加 强 与 统计 分 
析 相 关 的 技术 研究 。 许 多 学 者 在 研究 新 的 检测 方法 ,如 采用 自动 代理 的 主动 防御 方法 ,将 免 
疫 学 原理 应 用 到 入 侵 检测 的 方法 等 。 其 主要 发 展 方向 可 以 概括 为 以 下 几 点 。 

(1) 分 布 式 入 侵 检测 与 CIDF。 传 统 的 入 侵 检 测 系 统一 般 局 限于 单一 的 主机 或 网 络 架 
构 , 对 异 构 系 统 及 大 规模 网 络 的 检测 明显 不 足 . 同 时 不 同 的 IDS 之 间 不 能 协同 工作 。 为 此 ， 
需要 分 布 式 人 侵 检测 技术 与 CIDF。 

(2) 应 用 层 入 侵 检测 。 许 多 入 侵 的 语义 只 有 在 应 用 层 才能 理解 ,而 目前 的 IDS 仅 能 检 
测 Web 之 类 的 通用 协议 ,不 能 处 理 如 Lotus Notes 数据 库 系统 等 其 他 的 应 用 系统 。 许 多 基 
于 客户 /服务 器 结构 、 中 间 件 技术 及 对 象 技 术 的 大 型 应 用 ,需要 应 用 层 的 入 侵 检测 保护 。 

(3) 智能 入 侵 检 测 。 目 前 ,入 侵 方法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 智能 体系 、 神 
经 网 络 与 遗传 算法 应 用 在 人 侵 检测 领域 ,但 这 些 只 是 一 些 尝试 性 的 研究 工作 ,需要 对 智能 化 
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的 IDS 进一步 研究 ,以 解决 其 自学 习 与 自 适 应 能 力 。 

(4) 与 网 络 安 全 技术 相 结 合 。 结 合 防火 墙 .PKIX .安全 电子 交易 (SET) 等 网 络 安全 与 
电子 商务 技术 ,提供 完整 的 网 络 安 全 保障 。 

(5) 建立 人 侵 检测 系统 评价 体系 。 设 计 通 用 的 入 侵 检测 测试 .评估 方法 和 平台 ,实现 对 
多 种 IDS 的 检测 ,已 成 为 当前 入 侵 检测 系统 的 另 一 重要 研究 与 发 展 领域 。 评 价 IDS 可 从 检 
测 范 围 .系统 资源 占用 、 自 身 的 可 靠 性 等 方面 进行 ,评价 指标 有 能 否 保 证 自身 的 安全 运行 与 
维护 系统 的 开销 、 报 警 准确 率 、 负 载 能 力 以 及 可 支持 的 网 络 类 型 .支持 的 入 侵 特征 数 、 是 否 支 
持 IP 碎片 重组 .是否 支 持 TCP 流 重 组 等 。 

总 之 ,IDS 作为 一 种 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实 
时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 。 随 着 网 络 通信 技术 安全 性 的 要 求 越 来 
越 高 ,需要 为 电子 商务 等 越 来 越 多 的 网 络 应 用 提供 可 靠 服务 。 由 于 入 侵 检测 系统 能 够 从 网 
络 安全 的 立体 纵深 、 多 层次 防御 的 角度 出 发 提供 安全 服务 , 必 将 进一步 受到 人 们 的 高 度 
重视 。 


6.5 典型 人 侵 检 测 系 统 与 选择 方法 


目前 流行 的 IDS 产品 主要 有 Cisco 公司 的 NetRanger,ISS 公司 的 RealSecure, Axent 
的 ITA、ESM, 以 及 NAI 的 CyberCop 等 。 

NetRanger 是 一 种 企业 级 的 实时 NIDS, 可 检测 、 报 告 和 阻 断 网 络 中 的 未 授权 活动 。 
NetRanger 可 以 在 Internet 网 络 环境 和 内 部 网 络 环境 中 运行 ,以 提供 对 网 络 的 整体 保护 。 
NetRanger 由 两 个 部 件 构成 : NetRanger Sensor 和 NetRanger Director。NetRanger Sensor 通过 
旁 路 的 方式 获取 网 络 流量 ,因此 不 会 对 网 络 的 传输 性 能 造成 影响 ,其 通过 分 析 数 据 包 的 内 容 
和 上 下 文 (Context) ,判断 流量 是 否 未 经 授权 。 一 旦 检测 到 未 经 授权 的 网 络 行为 ,如 Ping 攻 
击 或 敏感 的 关键 字 ,NetRanger 可 以 向 NetRanger Director 控制 台 发 出 告警 信息 ,并 截断 人 
侵 行 为 的 网 络 连 接 。 

NetRanger 的 显著 特点 是 检测 性 能 高 且 易 于 裁剪 。NetRanger Director 可 以 监视 网 络 
的 全 局 信息 ,并 发 现 潜 在 的 攻击 行为 。 

RealSecure 是 ISS 公司 研发 的 HNIDS, 包 括 基 于 主机 的 System Agent 以 及 基于 网 络 
的 Network Engine 两 个 套件 。Network Engine 负责 检测 网 络 数据 包 并 生成 告警 ,System 
Agent 接收 警报 并 作为 配置 和 生成 数据 库 报告 的 中 心 点 。 这 两 部 分 均 可 以 在 Linux、 
Windows NT、SunOS、Solaris 等 操作 系统 上 运行 , 且 支 持 在 混合 的 操作 系统 环境 中 使 用 。 
RealSecure 的 最 显著 的 优势 在 于 应 用 的 简洁 和 较 低 的 价格 上 .使 用 普通 的 商用 计算 机 就 可 
以 运行 RealSecure。RealSecure 还 支持 与 CheckPoint 防火 墙 的 交互 式 控 制 , 支 持 由 Cisco 
等 主流 交换 机 组 成 的 交换 环境 监听 ,可 以 在 需要 时 自动 切断 入 侵 连 接 。 

ITA(Intruder Alert) 是 标准 的 NIDS, 全 部 支持 分 布 式 的 监视 和 集中 管理 模式 。 在 结 
构 上 ,ITA 包含 三 个 组 成 部 分 ,管理 器 、 控 制 台 和 代理 。 其 支持 的 平台 非常 广泛 ,包括 在 
Windows NT、95、3.1 和 Netware 3. x、4. x, 以 及 大 多 数 的 UNIX 操作 系统 下 都 能 运行 。 
ITA 最 大 的 特点 是 可 以 根据 解决 方案 来 灵活 地 裁剪 ,并 根据 操作 系统 、 防 火 墙 厂商 ,Web 服 
务 器 厂商 数据 库 及 路 由 器 厂商 来 定制 解决 方案 。 
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Network Associates 公司 是 1977 年 由 以 做 Sniffer 类 探测 器 闻名 的 Network General 
公司 与 以 做 反 病 毒 产 品 为 专业 的 McAfee Associates 公司 合并 而 成 的 。Network Associates 从 
Cisco 那里 取得 授权 ,将 NetRanger 的 引擎 和 攻击 模式 数据 库 用 在 CyberCop 中 。 

CyberCop 基本 上 可 以 认为 是 NetRanger 的 局 域 网 管理 员 版 。NAI 的 CyberCop 则 可 
以 同时 在 基于 主机 和 基于 网 络 两 种 模式 下 工作 。 这 些 局 域 网 管理 员 正 是 Network 
Associates 的 主要 客户 群 。 

另外 ,CyberCop 被 设计 成 一 个 网 络 应 用 程序 ,一 般 在 20 分 钟 内 就 可 以 安装 完毕 。 它 预 
设 了 6 种 通常 的 配置 模式 : Windows NT 和 UNIX 的 混合 子 网 .UNIX 子 网 .NT 子 网 、 远 程 
访问 .前沿 网 (如 Internet 的 接 入 系统 ) 和 骨干 网 。 它 没有 Netware 的 配置 。 

前 端 设计 成 浏览 器 方式 主要 是 考虑 易于 使 用 ,发 挥 Network General 在 提取 包 数 据 上 
的 经 验 , 用 户 使 用 时 也 易于 查看 和 理解 。 像 在 Sniffer 中 一 样 , 它 在 帮助 文档 里 结合 了 专家 
知识 。CyberCop 还 能 生成 可 以 被 Sniffer 识别 的 踪迹 文件 。 与 NetRanger 相 比 ,CyberCop 
缺乏 一 些 企业 应 用 的 特征 ,如 路 径 备 份 功能 等 。 

目前 市 场 上 的 入 侵 检 测 产 品 数 以 百 计 , 正 确 选择 符合 应 用 需求 的 产品 主要 是 从 以 下 的 
基本 原则 出 发 ， 

(1) 系统 的 价格 成 本 ; 

(2) 产品 的 攻击 检测 数量 ,特征 库 审 计 与 维护 的 费用 ; 

(3) 最 大 的 可 处 理 流量 (P/s, 包 / 秒 ); 

(4) 产品 是 否 容易 被 入 侵 者 绕 过 ; 

(5) 产品 的 可 伸缩 性 ; 

(6) 系统 运行 和 维护 的 开销 ; 

(7) 产品 支持 的 响应 方法 ; 

(8) 产品 的 误 报 和 漏 报 率 ; 

(9) 产品 自身 的 安全 性 ; 

(10) 产品 的 易 用 性 ; 

(11) 产品 是 否 通过 国家 权威 机 构 评测 。 


习题 6 


. 什么 是 人 侵 检测 ? 什么 是 入 侵 检测 系统 ? 

. 和信 侵 检测 的 优点 是 什么 ? 有 哪些 局 限 性 ? 

. 入侵 检测 系统 有 哪些 分 类 方法 ? 各 分 类 方式 是 如 何 分 类 的 ? 
. 简 述 公 共 入 侵 检测 框架 (CIDF) 的 系统 架构 和 各 组 件 的 功能 。 
. 简 述 人 侵 检测 系统 的 体系 结构 和 各 自 的 特点 。 

. 人 侵 检测 技术 有 哪些 ? 其 中 最 常用 的 技术 是 什么 ? 

. 简 述 入 侵 检 测 技术 未 来 的 发 展 方向 。 

. 简 述 选择 入 侵 检测 产品 的 基本 原则 。 
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随 着 互联 网 应 用 的 普及 ,出 现 了 通过 Internet 访问 企业 内 部 网 络 的 应 用 
需求 ,这 意味 着 必须 通过 用 户 身 份 认证 、 数 据 机 密 传输 和 数据 完整 性 保护 等 
安全 措施 来 解决 潜在 的 信息 窃听 、 算 改 、 重 放 等 一 系列 安全 问题 。 虚 拟 专 用 
网 (Virtual Private Network,VPN) 技 术 就 是 解决 这 一 问题 的 一 种 常用 的 安 
全 访问 技术 。 本 章 主 要 介绍 VPN 的 基本 概念 和 特点 、 分 类 方式 、 相 关 技 术 等 
方面 的 内 容 。 


7.1 虚拟 专用 网 概述 


设想 一 个 这 样 的 场景 ,有 一 家 在 全 球 各 地 存在 有 多 个 分 支 机 构 的 跨国 公 
司 ,各 地 的 子 公司 需要 远程 访问 公司 总 部 的 内 部 网 络 中 的 某 些 应 用 服务 ,如 
企业 资源 计划 (Enterprise Resource Planning,ERP) 系 统 ,这 类 系统 中 往往 存 
储 有 大 量 的 敏感 信息 ,因此 不 能 暴露 在 环境 复杂 的 公共 网 络 ( 如 Internet) 中 。 

对 于 这 类 的 访问 需求 ,传统 的 解决 方案 往往 是 通过 租用 专门 的 通信 链 
路 ,如 数字 数据 网 络 (Digital Data Network,DDN) 专 线 , 通 过 这 样 的 专用 链 
路 访问 内 部 网 络 可 以 使 访问 不 经 过 公共 网 络 ,从 而 保障 了 访问 过 程 的 安全 
性 。 这 样 的 解决 方案 虽然 具有 速度 快 、 安 全 性 高 的 特点 ,但 需要 以 支付 高 昂 
的 线路 租用 费 为 代价 。 

实际 上 ,对 通过 公共 网 络 访问 内 部 网 络 资源 的 安全 担忧 主要 源 于 两 个 方 
面 : 担心 非法 用 户 可 以 访问 内 部 资源 ; @ 担 心 信息 在 传输 过 程 中 被 非法 用 
户 窃 取 和 算 改 。 如 果 能 够 提供 这 两 方面 的 安全 保障 ,就 可 以 实现 通过 公共 网 
络 访 问 内 部 资源 ,VPN 正 是 应 上 述 需求 出 现 的 一 种 新 型 网 络 安全 技术 。 

VPN 是 一 种 依靠 互联 网 服务 提供 商 (Internet Service Provider,ISP) 和 
其 他 网 络 服务 提供 商 (Network Service Provider, NSP) 在 公用 网 络 中 建立 专 
用 的 数据 通信 网 络 的 技术 。 在 VPN 中 ,任意 两 个 节点 之 间 的 连接 并 没有 传 
统 专用 网 所 需 的 端 到 端 物理 链 路 ,而 是 通过 对 公共 通信 基础 设施 的 通信 介质 
进行 某 种 逻辑 分 割 为 用 户 提供 定制 的 网 络 连接 。VPN 可 以 实现 不 同 网 络 组 
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件 和 资源 之 间 的 相互 连接 ,能 够 利用 Internet 或 其 他 公共 互联 网 络 基础 设施 为 用 户 创 建安 
全 隧道 CTunnel) ,并 提供 与 专用 网 络 一 样 的 安全 和 功能 服务 。 

VPN 包含 两 层 含义 : DD 它 是 虚拟 的 网 , 即 没 有 固定 的 物理 连接 ,网 络 只 有 用 户 需要 时 
才 建 立 ; 思 它 是 利用 公用 网 络 设 施 构成 的 专用 网 。VPN 技术 实现 了 内 部 网 信息 在 公众 信 
息 网 (如 Internet) 中 的 安全 传输 ,对 于 用 户 来 讲 , 公 众 网 络 起 到 了 “虚拟 专用 ”的 效果 。 其 原 
理 如 图 7-1 所 示 。 


7-1 虚拟 专用 网 应 用 原理 


为 了 确保 信息 访问 和 传输 过 程 的 安全 ,VPN 技术 实现 中 应 用 的 主要 安全 技术 包括 身份 
鉴别 .访问 控制 .数据 保密 性 保护 ,数据 完整 性 鉴别 等 。 

VPN 在 应 用 中 主要 具备 以 下 特点 。 

(1) 安全 性 高 。VPN 使 用 隧道 技术 .加 解密 技术 、 密 钥 管理 技术 .用户 与 设备 身份 认证 
技术 保证 了 通信 的 安全 性 。 由 于 VPN 能 建立 安全 的 虚拟 专用 数据 通道 ,因此 企业 或 政府 
可 以 通过 基于 Internet 的 VPN 实现 远程 交流 .远程 商务 和 远程 办 公 等 业务 。 

(2) 成 本 低 。VPN 使 用 价格 较为 低廉 的 公共 网 络 基础 设施 为 用 户 创建 安全 隧道 ,不 需 
要 租用 专门 的 通信 线路 ; 另 一 方面 ,VPN 的 出 现 为 开展 远程 办 公 、 远 程 商务 洽谈 .签订 合同 
等 业务 提供 了 方便 ,可 以 节约 公司 /用 户 开展 远程 业务 所 要 付出 的 成 本 。 

(3) 覆盖 性 好 。 以 Internet 为 代表 的 公共 网 络 基础 设施 遍布 全 球 ,其 接 入 点 也 是 无 处 
不 在 。 只 要 有 Internet 的 地 方 , 就 可 以 通过 VPN 设备 或 软件 构成 企业 或 部 门 各 分 支 机 构 及 
总 部 间 的 VPN, 从 而 可 以 对 关键 性 的 数据 进行 安全 传输 。 而 采用 专线 来 实现 安全 传输 不 仅 
费用 高 昂 ,而 且 接 入 点 不 容易 寻找 。 

(4) 可 扩展 性 强 。 采 用 VPN 技术 可 以 非常 方便 地 增加 或 减少 用 户 , 如 增加 一 个 分 部 ， 
只 需要 在 分 部 处 简单 增加 一 台 VPN 设备 ,就 可 以 利用 Internet 建立 安全 连接 。 而 专线 则 不 
同 ,要 增加 用 户 ,就 必须 设立 新 的 接 入 点 ,并 租用 或 架设 新 的 网 络 线路 。 

(5) 管理 方式 简单 。 用 户 甚至 可 以 直接 将 VPN 的 解决 方案 外 包 给 运营 商 , 将 全 部 精力 
集中 到 自身 业务 的 发 展 上 。 

(6) 已 有 广泛 支持 。VPN 可 以 广泛 支持 使 用 不 同 网 络 协议 的 用 户 , 如 IP、IPX、 
NetBEUI 等 网 络 协议 。 这 意味 着 不 同 网 络 环境 下 的 用 户 可 以 不 受 限 制 地 使 用 VPN 技术 。 
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7.2 虚拟 专用 网 分 类 


目前 VPN 的 分 类 方式 没有 统一 的 标准 。 不 同 的 厂商 在 推出 自己 的 VPN 产品 时 使 用 
了 不 同 的 分 类 方式 ,它们 主要 是 从 产品 的 角度 来 划分 的 ; 不 同 的 互联 网 服务 商 在 开展 VPN 
业务 时 也 推出 了 不 同 的 分 类 方式 ,他 们 主要 是 从 业务 开展 的 角度 来 划分 的 ; 而 用 户 往往 也 
有 自己 的 划分 方法 ,主要 是 根据 自己 的 需求 来 进行 的 。 下 面 简单 介绍 几 种 从 不 同 的 角度 对 
VPN 的 分 类 方式 。 


7.2.1 按 接 入 方式 分 类 


按 接 人 方式 分 类 是 一 种 用 户 和 运营 商 最 关心 的 VPN 划分 方式 。 一 般 情况 下 ,用户 可 
能 是 通过 专线 和 人 网 的 ,也 可 能 是 拨号 上 网 的 ,这 要 根据 用 户 的 具体 情况 而 定 。 建 立 在 IP 网 
上 的 VPN 也 就 对 应 的 有 两 种 接 人 方式 : 专线 接 人 方式 和 拨号 接 人 方式 。 

1. 专线 VPN 

专线 VPN 是 为 已 经 通过 专线 接 入 ISP 边缘 路 由 器 的 用 户 提 供 的 VPN 解决 方案 。 在 
这 种 方案 中 ,VPN 的 连接 始终 存在 ,用 户 需 提 供 一 定 线路 的 租用 费 。 但 是 物理 上 的 专线 仅 
在 用 户 与 ISP 之 间 存 在 ,而 非 使 用 一 条 直接 连接 远 端 内 部 网 络 的 专线 ,如 图 7-2 所 示 。 


Internet/PSTN/ISDN 


专线 -一 一 -安全 隧道 
图 7-2 专线 VPN 


2. 拨号 VPN 

拨号 VPN 又 称 虚拟 专用 拨号 网 (Virtual Private Dial-up Networks, VPDN), 它 是 向 使 
用 公共 交换 电话 网 络 (Public Switched Telephone Network, PSTN ) 或 综合 业务 数字 网 
(Integrated Services Digital Network,ISDN) 接 入 ISP 的 拨号 用 户 提供 的 VPN 业务。 这 是 一 种 
“ 按 需 连接 ”的 VPN ,可 以 节省 用 户 的 长 途 电话 费用 。 需 要 指出 的 是 ,因为 用 户 一 般 是 漫游 用 
户 , 且 “ 按 需 连接 ”, 因 此 VPDN 通常 需要 对 用 户 的 身份 进行 认证 。 如 图 7-3 所 示 为 拨号 VPN。 


人 一 -< 总 部 网 络 
PSTN/ISDN 


图 7-3 拨号 VPN 
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7.2.2 按 协议 实现 类 型 分 类 


按 协议 实现 类 型 分 类 是 一 种 VPN 厂商 和 ISP 最 为 关心 的 划分 方式 。 根 据 分 层 模型 ， 
VPN 可 以 在 OSI 网 络 模 型 的 第 二 层 ( 链 路 层 ) 建 立 , 也 可 以 在 第 三 层 (网 络 层 ) 建 立 , 一 些 情 
况 下 其 至 把 在 更 高 层 的 一 些 安全 协议 也 归 入 VPN 协议 。 

(1) 第 二 层 隧 道 协议 : 包括 点 对 点 隧道 协议 (Point to Point Tunneling Protocol， 
PPTP) .第 二 层 转 发 协议 (Level 2 Forwarding Protocol, L2FP)、 第 二 层 隧道 协议 (Layer 2 
Tunneling Protocol,L2TP) 、 多 协议 标记 交换 (Multi-Protocol Label Switching,MPLS) 等 。 

(2) 第 三 层 隧 道 协议 : 包括 通用 路 由 封装 协议 (Generic Routing Encapsulation,GRE) 、 
IP 安全 协议 (IP Security,IPSec) ,这 是 目前 最 流行 的 两 种 第 三 层 协议 。 

(3) 高 层 隧道 协议 : 主要 包括 位 于 传输 层 以 上 的 安全 套 接 字 /传输 层 安全 协议 (Secure 
Sockets Layer/Transport Layer Security,SSLVTLS) 。 

不 同 协议 实现 类 型 的 区 别 主 要 在 于 用 户 数据 在 网 络 协议 栈 的 第 几 层 被 封装 ,其 中 
GRE IPSec 和 MPLS 主要 用 于 实现 专线 VPN 业务 ,L2TP 主要 用 于 实现 拨号 VPN 业务 
(但 也 可 以 用 于 实现 专线 VPN 业务 ) ,当然 这 些 协 议 之 间 本 身 不 是 冲突 的 ,而 是 可 以 结合 使 
用 的 。 

7.2.3 按 发 起 方式 分 类 

按 发 起 方式 分 类 是 一 种 客户 和 ISP 最 为 关心 的 VPN 分 类 。VPN 业务 可 以 是 客户 独立 
自主 实现 的 ,也 可 以 是 由 ISP 提供 的 。 

1. 客户 发 起 VPN( 也 称 基于 客户 的 VPN) 

VPN 服务 提供 的 起 始点 和 终止 点 是 面向 客户 的 ,其 内 部 技术 构成 ,实施 和 管理 对 VPN 
客户 可 见 。 需 要 客户 和 隧道 服务 器 (或 网 关 ) 方 安装 隧道 软件 。 客 户 方 的 软件 发 起 隧道 ,在 
公司 隧道 服务 器 处 终止 隧道 。 此 时 ISP 不 需要 做 支持 建立 隧道 的 任何 工作 。 经 过 对 用 户 标 
识 和 口令 的 验证 ,客户 方 和 隧道 服务 器 极 易 建立 隧道 。 双 方 也 可 以 用 加 密 的 方式 通信 。 隧 
道 一 经 建立 ,用 户 就 会 感觉 到 ISP 不 再 参与 通信 。 

2. 服务 器 发 起 VPN( 也 称 客户 透明 方式 或 基于 网 络 的 VPN) 

在 公司 中 心 部 门 或 ISP 的 入 网 点 (Point Of Presence, POP) 安 装 VPN 软件 ,客户 无 须 
安装 任何 特殊 软件 。 主 要 为 ISP 提供 全 面 管 理 的 VPN 服务 ,服务 提供 的 起 始点 和 终止 点 
是 ISP 的 POP, 其 内 部 构成 .实施 和 管理 对 VPN 客户 完全 透明 。 

在 上 述 提 及 的 隧道 协议 中 ,目前 MPLS 只 能 用 于 服务 器 发 起 的 VPN 方式 。 


7.2.4 按 服 务 类 型 分 类 

根据 服务 类 型 , VPN 业务 大 致 分 为 三 类 : 接 入 VPN(Access VPN)、 内 联网 VPN 
(Intranet VPN) 和 外 联网 VPN(Extranet VPN)。 通 常情 况 下 内 联网 VPN 是 专线 VPN。 

1. 接 入 VPN 

接 入 VPN 是 企业 员工 或 企业 的 小 分 支 机 构 通过 公共 网 络 远程 访问 企业 内 部 网 络 的 
VPN 方式 。 远 程 用 户 一 般 是 一 台 主 机 ,而 不 是 网 络 , 因 此 组 成 的 VPN 是 一 种 主机 到 网 络 的 
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拓扑 模型 。 需 要 指出 的 是 接 和 人 VPN 不 同 于 前 面 的 拨号 VPN ,这 是 一 个 容易 发 生 混淆 的 地 
方 ,因为 远程 接 入 可 以 是 专线 方式 接 入 的 ,也 可 以 是 拨号 方式 接 入 的 ,如 图 7-2 和 图 7-3 
所 示 。 

2. 内 联网 VPN 

内 联网 VPN 是 企业 的 总 部 与 分 支 机 构 之 间 通 过 公共 网 络 构筑 的 虚拟 网 ,这 是 一 种 网 
络 到 网 络 以 对 等 的 方式 连接 起 来 所 组 成 的 VPN ,如 图 7-4 所 示 。 


pail FAS 
加 3 E 总 部 网 络 


图 7-4 内 联网 VPN 


3, 外 联网 VPN 

外 联网 VPN 是 企业 在 发 生 收 购 .兼并 或 企业 间 建 立 战略 联盟 后 ,使 不 同 企业 间 通 过 公 
共 网 络 来 构筑 的 虚拟 网 。 这 是 一 种 网 络 到 网 络 以 不 对 等 的 方式 连接 起 来 所 组 成 的 VPN( 主 
要 在 安全 策略 上 有 所 不 同 ) ,如 图 7-5 所 示 。 


合作 伙伴 网 关 


合作 伙伴 网 络 


图 7-5 外 联网 VPN 


7.2.5 按 承 载 主 体 分 类 

营运 VPN 业务 的 企业 , 既 可 以 自行 建设 他 们 的 VPN 网 络 , 也 可 以 把 此 业务 外 包 给 
VPN 商 。 这 是 客户 和 ISP 最 关心 的 问题 。 

1. 自 建 VPN 


自 建 VPN 是 一 种 客户 发 起 的 VPN 企业 在 驻地 安装 VPN 的 客户 端 软件 ,在 企业 网 边 
缘 安装 VPN 网 关 软 件 ,完全 独立 于 营运 商 建设 自己 的 VPN 网 络 ,运营 商 不 需要 做 任何 对 
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VPN 的 支持 工作 。 企 业 自 建 VPN 的 好 处 是 它 可 以 直接 控制 VPN 网 络 ,与 运营 商 独立 ,并 
且 VPN 接 入 设备 也 是 独立 的 。 但 缺点 是 VPN 技术 非常 复杂 ,这 样 组 建 的 VPN 成 本 很 高 ， 
服务 质量 (QoS) 也 很 难保 证 。 

2. 外 包 VPN 

企业 把 VPN 服务 外 包 给 运营 商 ,运营 商 根据 企业 的 要 求 规划 、 设 计 、 实 施 和 运 维 客户 
的 VPN 业务 。 企 业 可 以 因此 降低 组 建 和 运 维 VPN 的 费用 ,而 运营 商 也 可 以 因此 开拓 新 的 
IP 业务 增值 服务 市 场 ,获得 更 高 的 收益 ,并 提高 客户 的 保持 力 和 上 忠诚 度 。 

目前 的 外 包 VPN 可 以 划分 为 两 种 : 基于 网 络 的 VPN 和 基于 用 户 边缘 设备 (Customer 
Edge,CE) 的 管理 型 YPN(Managed VPN)。 基 于 网 络 的 VPN 通常 在 运营 商 网 络 的 入 网 点 
POP 处 安装 电信 级 VPN 交换 设备 。 基 于 CE 的 管理 型 VPN 业务 是 一 种 受信 的 第 三 方 负 
责 设计 企业 所 希望 的 VPN 解决 方案 .并 代表 企业 进行 管理 ,所 使 用 的 安全 网 关 ( 防 火 墙 .路 
由 器 等 ) 位 于 用 户 一 侧 。 


7.2.6 按 业务 层次 模型 分 类 

按 业务 层次 模型 分 类 是 根据 ISP 向 用 户 提供 的 VPN 服务 工作 在 OSI 网 络 模型 的 第 几 
层 来 进行 划分 ,需要 注意 的 是 在 这 种 分 类 方式 中 并 不 是 根据 隧道 协议 工作 在 哪 一 层 来 划 
分 的 。 

1. 拨号 VPN 

拨号 VPN 是 第 一 种 划分 方式 中 的 VPDN( 实 际 上 是 按 接 入 方式 划分 的 ,因为 很 难 明确 
VPDN 究竟 属于 哪 一 层 ) 。 

2. 虚拟 租用 线路 

虚拟 租用 线路 (Virtual Leased Line, VLL) 是 对 传统 的 租用 线路 业务 的 仿真 ,用 IP 网 络 
对 租用 线路 进行 模拟 ,而 从 两 端的 用 户 看 来 这 样 一 条 虚拟 租用 线 等 价 于 过 去 的 租用 线 。 

3. 虚拟 专用 路 由 网 

虚拟 专用 路 由 网 (Virtual Private Routed Networks,VPRN) 是 对 第 三 层 IP 路 由 网 络 的 
一 种 仿真 。 可 以 把 VPRN 理解 成 一 种 第 三 层 VPN 技术 。 

4. 虚拟 专用 局 域 网 服务 

虚拟 专用 局 域 网 服务 (Virtual Private Lan Service,VPLS) 是 在 IP 广域网 上 仿真 LAN 
的 技术 。 可 以 把 VPLS 理解 成 一 种 第 二 层 VPN 技术 。 

需要 指出 的 是 , 现 有 的 VPN 分 类 方式 处 于 相对 混乱 的 状态 ,并 没有 形成 统一 的 标准 ， 
因此 同一 种 VPN 可 能 出 现在 多 种 不 同 的 分 类 方式 中 。 

表 7-1 给 出 了 不 同 分 类 方式 的 VPN 类 型 和 实例 。 

表 7-1 VPN 分 类 及 实例 


分 类 方式 类 型 名 称 说 明 /举例 
为 利用 拨号 公用 交换 电话 网 (PSTN) 或 综合 业务 数字 网 (ISDN) 
接 人 方式 | 拨号 VPN (VPDN) | 接 入 ISP 的 用 户 提供 的 VPN 业务 
专线 VPN 为 已 经 通过 专线 接 人 1SP 边缘 路 由 器 的 用 户 提供 的 VPN 业务 
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续 表 
分 类 方式 类 型 名称 说 明 /举例 
应 用 层 S/MIME .Kerberose\IPSec(ISAKMP) 
传输 层 SSL/TLS.SOCKS 
协议 实现 类 型 | 第 三 层 隧道 用 户 数据 在 协议 栈 的 第 三 层 被 封装 ,如 IPSecC(AH 和 ESP) 
第 二 层 障 道 用 户 数据 在 协议 栈 的 第 二 层 被 封装 ,如 L2TP、PPTP、L2F 
和 MPLS 
客户 发 起 基于 客户 的 VPN, 隧 道 的 起 始点 和 终止 点 是 面向 客户 的 ,其 内 
二 二 天才 部 技术 构成 实施 和 管理 都 由 VPN 客户 负责 
慑 务 如 (同和 站 ) 发 起 ISP 提供 并 管理 的 VPN 服务 ,服务 提供 的 起 始点 和 终止 点 是 
ISP 的 呈现 点 (POP) ,其 内 部 构成 实施 和 管理 都 由 ISP 负责 
接 人 VPN 企业 员工 或 企业 的 小 分 支 机 构 通 过 公共 网 络 远程 拨号 等 方式 构 
筑 的 VPN 
服务 类 型 内 联网 VPN 企业 总 部 与 分 支 机 构 LAN 之 间 通 过 公共 网 络 构筑 的 VPN 
外 联网 VEN 企业 发 生 收购 ,兼并 或 企业 间 建 立 战略 联盟 后 ,不 同 企业 间 通 过 
公共 网 络 构筑 的 VPN 
在 业 自 寻 基于 客户 的 VPN ,隧道 的 起 始点 和 终止 点 是 面向 客户 的 ,其 内 
部 技术 构成 实施 和 管理 都 由 VPN 客户 负责 
ISP 提供 并 管理 的 VPN 服务 ,服务 提供 的 起 始点 和 终止 点 是 
和 各 二 让 本 基于 网 络 | ISP 的 呈现 点 (POP) ,其 内 部 构成 .实施 和 管理 都 由 ISP 负责 
托管 方式 VPN 设备 位 于 用 户 一 侧 。 运 营 商 负责 安装 、 配 置 和 监视 、 维 护 
设备 的 运转 情况 
VPDN 为 利用 拨号 公用 交换 电话 网 (PSTN) 或 综合 业务 数字 网 (ISDN) 
接 入 ISP 的 用 户 提供 的 VPN 业务 
业务 层次 VLL 对 传统 的 租用 线路 业务 的 仿真 
VRPN 是 对 第 三 层 IP 路 由 网 络 的 一 种 仿真 
VPLS 是 在 IP 广域网 上 仿真 LAN 的 技术 


7.3 ”虚拟 专用 网 关键 技术 


VPN 在 公共 网 上 构建 虚拟 专用 网 ,进行 数据 通信 ,需要 满足 通信 安全 的 三 个 要 求 : 身 
份 认证 ,数据 保密 性 和 数据 完整 性 。 身 份 认证 确保 数据 是 正确 的 发 送 方 所 发 送 的 ; 数据 保 
密 性 确保 数据 传输 时 外 人 无 法 看 到 或 获得 数据 ; 数据 完整 性 确保 数据 在 传输 过 程 中 没有 被 
非法 改动 。VPN 的 上 述 三 个 通信 安全 需求 主要 通过 隧道 ,加密 、 密 钥 管 理 以 及 用 户 认证 等 
四 种 安全 技术 来 实现 。 
7.3.1 隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ,其 实质 上 是 一 种 封装 ,即将 一 种 协议 (如 协议 X) 封 装 在 
另 一 种 协议 (如 协议 Y) 中 传输 ,从 而 实现 协议 X 对 公共 网 络 的 透明 性 。 这 里 ,协议 X 称 为 


被 封装 协议 ,协议 Y 称 为 封装 协议 。 封 装 时 ,一般 还 要 加 上 特定 的 隧道 控制 信息 。 隧 道 协 
议 的 一 般 封 装 形式 为 : 
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协议 Y | 隧道 头 | 协议 X 


因此 ,隧道 是 指 将 一 种 协议 的 数据 单元 封装 在 另 一 种 协议 数据 单元 中 传输 。 隧 道 作为 
一 种 网 络 互联 的 手段 ,被 广泛 应 用 于 各 种 场合 ,如 移动 IP、 多 点 投递 等 方面 。 目 前 ,已 经 提 
出 了 多 种 不 同 的 IP 隧道 协议 ,如 PPTP 协议 .GRE 协议 、.L2TP 协议 、IPSec 协议 等 。 通 过 
将 传输 的 原始 信息 经 过 加 密 和 协议 封装 处 理 后 再 符 套 装 入 另 一 种 协议 的 数据 包 送 入 网 络 
中 , 像 普 通 数 据 包 一 样 进行 传输 。 经 过 这 样 的 处 理 ,只 有 源 端 和 目的 端的 用 户 能 对 隧道 中 的 
嵌 套 信息 进行 解释 和 处 理 ,对 于 其 他 用 户 而 言 只 是 无 意义 的 信息 。 
建立 隧道 有 两 种 主要 的 方式 : 客户 启动 或 客户 透明 。 

客户 启动 要 求 客户 和 隧道 服务 器 (或 网 关 ) 都 安装 隧道 软件 ,客户 终端 和 隧道 服务 器 分 
别 是 隧道 的 起 点 和 终点 。 客 户 软件 使 用 用 户 ID 和 口令 或 用 数字 许可 证 进行 鉴 权 认证 ,初始 
化 隧道 。 隧 道 服 务 器 中 止 隧道 ,一 旦 隧道 建立 ,就 可 以 进行 安全 通信 了 。 客 户 启动 隧道 不 需 
要 ISP 的 支持 。 

客户 透明 隧道 要 求 ISP 具备 VPN 隧道 所 需 的 设备 ,如 隧道 接 入 服务 器 以 及 可 能 需要 
的 路 由 器 ,并 提供 隧道 接 人 服务 。 客 户 首先 拨号 进入 服务 器 ,服务 器 必须 能 识别 这 一 连接 要 
与 某 一 特定 的 远程 点 建立 隧道 ,然后 服务 器 与 障 道 服务 器 建立 隧道 ,通常 使 用 用 户 ID 和 口 
令 进 行 鉴 权 认证 。 这 样 客户 端 就 通过 隧道 接 人 服务 器 与 隧道 服务 器 建立 了 直接 对 话 。 


7.3.2 加 密 技 术 


VPN 技术 的 安全 保障 主要 靠 加 密 技术 来 实现 。VPN 通常 建立 在 不 安全 的 公众 网 之 
上 ,加 密 技术 用 来 隐藏 传输 信息 的 真实 内 容 。VPN 通常 在 隧道 的 发 送 端 由 认证 用 户 先 加 密 
数据 ,再 传送 数据 ; 在 接收 端 由 认证 用 户 解密 数据 。 


7.3.3 密 钥 管 理 技术 


密 钥 管理 技术 的 主要 任务 是 确保 在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 窃取 。VPN 
中 密 钥 的 分 发 与 管理 非常 重要 。 密 钥 的 分 发 有 两 种 方法 : 一 种 是 通过 手工 配置 ; 另 一 种 是 
采用 密 钥 交换 协议 动态 分 发 。 手 工 配置 的 方法 由 于 密 钥 更 新 困难 ,只 适合 于 简单 网 络 的 情 
况 ; 密 钥 交换 协议 采用 软件 方式 动态 生成 密 钥 ,适合 于 复杂 网 络 的 情况 且 密 钥 可 快速 更 新 ， 
可 以 显著 提高 VPN 的 安全 性 。 目 前 常见 的 密 钥 管理 协议 包括 互联 网 简单 密 钥 交换 协议 
(Simple Key Exchange Internet Protocol, SKEIP ) 与 互联 网 密 钥 交换 (Internet Key 
Exchange,IKE) 。 

SKEIP 协议 由 SUN 公司 提出 ,用 于 解决 网 络 密 钥 交换 问题 , 主要 是 利用 Diffie- 
Hellman 密 钥 交换 算法 通过 网 络 进行 密 钥 协 商 ; IKE 属于 一 种 混合 型 协议 ,由 互联 网 安全 
关联 和 密 钥 管理 协议 (Internet Security Association and Key Management Protocol， 
ISAKMP) 和 两 种 密 钥 交换 协议 OAKLEY 与 SKEME 组 成 。IKE 创建 在 由 ISAKMP 定义 
的 框架 上 ,沿用 了 OAKLEY 的 密 钥 交换 模式 以 及 SKEME 的 共享 和 密 钥 更 新 技术 。 

上 述 的 两 种 协议 都 要 求 一 个 既 存 的 、 完 全 可 操作 的 公 钥 基础 设施 (PKI)。SKIP 要 求 
Diffie-Hellman 证 书 ,ISAKMP/OAKLEY 则 要 求 RSA 证 书 。 


第 7 章 虚拟 专用 网 技 


7.3.4 用 户 认 证 技术 


在 正式 的 隧道 连接 开始 之 前 需要 确认 用 户 身 份 ,以 便 系统 进一步 实施 资源 访问 控制 或 
用 户 授权 。VPN 中 常见 的 身份 认证 方式 主要 有 安全 口令 和 认证 协议 方式 。 

使 用 安全 口令 是 最 简单 的 一 种 认证 方式 。 为 了 提高 口令 的 安全 性 ,通常 要 求 采用 一 次 
性 口令 系统 (如 S/Key) 或 持 令 牌 卡 认证 (如 智能 卡 ) 的 方式 。 

使 用 认证 协议 有 两 种 基本 模式 : 有 第 三 方 参与 的 仲裁 模式 和 没有 第 三 方 参与 的 基于 共 
享 秘密 的 认证 模式 。 

1. 仲裁 认证 模式 

在 仲裁 认证 模式 下 ,通信 双方 的 身份 认证 需要 一 个 可 信 的 第 三 方 进行 仲裁 。 这 种 方式 
灵活 性 高 ,易于 扩充 , 即 系统 一 旦 建立 ,系统 用 户 的 数目 的 增加 不 会 导致 系统 维护 工作 量 的 
增加 或 显著 增加 。 通 过 在 第 三 方 机 构 之 间 建 立信 任 关 系 , 可 以 实现 不 同系 统 间 的 互 操作 , 具 
有 开放 特性 。 仲 裁 认 证 模式 缺点 是 建立 安全 的 认证 系统 很 困难 ,而 且 作 为 系统 核心 的 仲裁 
服务 器 会 成 为 对 手 攻击 的 主要 目标 。 

2. 共享 认证 模式 

共享 认证 模式 不 需要 第 三 方 仲裁 ,进行 认证 时 在 网 上 交换 的 信息 量 少 ,系统 易于 实现 。 
但 此 方式 灵活 性 差 , 不 易于 扩充 ,系统 维护 的 工作 量 正比 于 系统 中 用 户 的 总 数 。 共 享 密 钥 必 
须 定期 或 不 定期 地 进行 手工 更 新 ,而 且 单 个 用 户 密 钥 数据 库 的 更 新 必然 导致 整个 系统 中 所 
有 用 户 密 钥 数据 库 的 更 新 ,在 手工 更 新 方式 下 ,这 意味 着 整个 系统 的 维护 工作 是 极其 繁重 
的 。 另 外 ,共享 认证 模式 很 难 支持 不 同安 全 系统 之 间 的 互 操作 性 ,只 能 用 于 封闭 的 用 户 群 
环境 。 

远程 用 户 拨号 认证 系统 (Remote Authentication Dial In User Service, RADIUS) 和 质 
询 握手 协议 (Challenge Handshake Authentication Protocol,CHAP) 等 都 是 VPN 中 常见 的 
认证 协议 。 


7.4 虚拟 专用 网 常用 隧道 协议 


隧道 技术 是 通过 约定 的 隧道 协议 对 数据 进行 封装 ,从 而 在 公共 网 络 上 建立 安全 隧道 并 
传输 数据 。 根 据 协议 所 处 的 网 络 层次 可 分 为 第 二 层 隧道 协议 和 第 三 层 隧道 协议 。 


7.4.1 第 二 层 隧 道 协议 

第 二 层 隧道 协议 工作 在 数据 链 路 层 , 其 工作 流程 是 把 各 种 网 络 协议 先 封装 到 点 对 点 协 
议 (Point to Point Protocol,PPP) 中 ,然后 进行 隧道 协议 的 封装 ,再 通过 数据 链 路 层 进行 传 
输 。 这 类 协议 主要 包括 点 对 点 隧道 协议 (PPTP) ,第 二 层 转发 协议 (L2FP) ,第 二 层 隧 道 协 议 
(L2TP) 、 多 协议 标记 交换 (MPLS) 等 。 

1. 点 对 点 隧道 协议 (PPTP) 

PPTP 是 对 点 到 点 协议 (PPP) 的 扩展 ,由 Microsoft 和 Ascend 开发 。PPTP 使 用 一 种 
增强 的 GRE 封装 机 制 使 PPP 数据 包 按 隧道 方式 穿越 IP 网 络 , 并 对 传送 的 PPP 数据 流 进 
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行 流量 控制 和 拥塞 控制 。PPTP 并 不 对 PPP 进行 任何 修改 ,只 提供 了 一 种 传送 PPP 的 机 
制 , 并 增强 了 PPP 的 认证 压缩. 加密 等 功能 。 由 于 PPTP 基于 PPP, 因 而 它 支 持 多 种 网 络 
协议 ,可 将 IP、IPX、NetBEUI 的 数据 包 封 装 于 PPP 数据 帧 中 。 

PPTP 定义 了 一 种 基于 客户 /服务 器 的 体系 结构 ,把 目前 网 络 访问 服务 器 的 功能 分 为 
访问 集中 器 (PPTP Access Concentrator, PAC) 和 网 络 服务 器 (PPTP Network Server， 
PNS)。 网 络 服务 器 (PNS) 是 运行 于 公司 私有 网 内 的 一 个 通用 的 操作 系统 上 。 客 户 端 及 访 
问 集中 器 (PAC) 可 以 运行 在 一 个 支持 拨号 访问 的 平台 上 。 远 程 用 户 使 用 本 地 拨号 网 络 与 
PAC 建立 一 条 PPP 连接 ,PAC 使 用 一 条 隧道 将 PPP 数据 包 传送 给 PNS。PPTP 定义 了 一 
个 能 对 使 用 诸如 PSTN ISDN 或 其 他 电话 (如 交换 连接 线路 ) 的 拨 入 访问 进行 控制 和 管理 的 
协议 。PPTP 完成 PAC 和 PNS 之 间 的 PPP 协议 数据 单元 (PDU) 的 传送 .访问 控制 和 
管理 。 

2. 第 二 层 转 发 协议 (L2FP) 

L2FP 是 由 Cisco 公司 提出 的 可 以 在 多 种 媒介 (如 ATM、 帧 中 继 、IP 网 ) 上 建立 多 协议 
的 安全 VPN 通信 和 方式。 远程 用 户 能 够 通过 拨号 方式 接 入 公共 IP 网 络 ,首先 按照 常规 方式 
拨 ISP 的 接 入 服务 器 (NAS) ,建立 PPP 连接 ; NAS 根据 用 户 名 等 信息 ,发 起 第 二 重 连 接 , 通 
向 HGW 服务 器 。 在 这 种 情况 下 隧道 的 配置 、 建 立 对 用 户 是 安全 透明 的 。 

3. 第 二 层 隧 道 协议 (L2TP) 

L2TP 是 由 Microsoft 和 Cisco 开发 的 隧道 协议 ,是 国际 标准 隧道 协议 。L2TP 综合 了 
PPTP 以 及 L2FP 协议 的 优点 , 它 将 链 路 层 协议 封装 起 来 进行 传输 ,可 在 多 种 网 络 如 ATM、 
帧 中 继 、IP 网 建立 多 协议 的 VPN, 可 在 IP 网 络 中 支持 非 IP, 将 IP、IPX、NetBEUI 和 
AppleTalk 协议 封装 在 IP 包 中 。 

与 PPTP 和 L2FP 相 比 ,L2TP 的 优点 在 于 提供 了 差错 和 流量 控制 。 作 为 PPP 的 扩展 ， 
L2TP 可 以 进行 用 户 身份 认证 。L2TP 还 定义 了 控制 包 的 加 密 传输 ,对 于 每 个 被 建立 的 隧 
道 ,生成 一 个 唯一 的 随机 密 钥 ,提高 对 欺骗 性 攻击 的 防御 能 力 , 但 是 L2TP 对 传输 中 的 数据 
并 不 加 密 , 需 要 使 用 新 的 网 际 协 议 安全 (IPSec) 机 制 来 进行 身份 验证 和 数据 加 密 。L2TP 的 
安全 性 依赖 于 PPP 提供 的 认证 和 链 路 层 加 密 以 及 IPSec 的 保护 。 

4. 多 协议 标记 交换 (MPLS) 

多 协议 标记 交换 (MPLS) 技 术 是 一 个 可 以 在 多 种 第 二 层 协 议 上 进行 标签 交换 的 网 络 技 
术 , 并 且 不 用 改变 现 有 的 路 由 协议 。 目前 支持 的 第 二 层 的 协议 有 异步 传输 模式 
(Asynchronous Transfer Mode,ATM) 、 帧 中 继 (Frame Relay,FR)、 以 太 网 (Ethernet) 以 及 
点 对 点 协议 (PPP)。 这 一 技术 综合 了 第 二 层 的 交换 和 第 三 层 路 由 的 功能 ,将 第 二 层 的 快速 
交换 和 第 三 层 的 路 由 有 机 地 结合 起 来 ,第 三 层 的 路 由 在 网 络 的 边缘 实施 ,而 在 MPLS 的 网 
络 核 心 采 用 第 二 层 交 换 。 这 样 各 层 协 议 可 以 互相 补充 ,充分 发 挥 第 二 层 良好 的 流量 设计 管 
理 以 及 第 三 层 “Hop-By-Hop” 路 由 的 灵活 性 ,实现 端 到 端的 QoS 保证 。 

MPLS VPN 是 一 种 基于 MPLS 技术 的 IP-VPN, 是 在 网 络 路 由 和 交换 设备 上 应 用 
MPLS 技术 ,简化 核心 路 由 器 的 路 由 选择 方式 ,利用 结合 传统 路 由 技术 的 标记 交换 实现 的 
IP 虚拟 专用 网 络 (IP VPN) ,可 用 来 构造 宽带 的 Intranet、Extranet, 满 足 灵活 的 业务 需求 。 

MPLS VPN 运行 在 IP 十 ATM 或 者 IP 环境 下 ,对 应 用 完全 透明 ; 服务 激活 只 需要 一 次 
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性 地 在 用 户 边沿 (CE) 设 备 和 服务 供应 商 边沿 (PE) 设 备 进行 配置 准备 就 可 以 让 站 点 成 为 某 
个 MPLS VPN 组 的 成 员 ; VPN 成 员 资格 由 服务 供应 商 决定 ; 对 VPN 组 未 经 过 认证 的 访 
问 被 PE 设备 配置 所 拒绝 。MPLS VPN 的 安全 性 通过 对 不 同 用 户 间 、 用 户 与 公共 网 络 间 的 
路 由 信息 进行 隔离 实现 。 

MPLS VPN 能 够 利用 公用 骨干 网 络 的 广泛 而 强大 的 传输 能 力 ,降低 企业 内 部 网 络 的 建 
设 成 本 , 极 大 地 提高 用 户 网 络 运 营 和 管理 的 灵活 性 ,同时 能 够 满足 用 户 对 信息 传输 安全 性 、 
实时 性 、 宽 频带 方便 性 的 需要 。 


7.4.2 第 三 层 隧道 协议 

第 三 层 隧道 协议 在 网 络 层 实现 ,主要 包括 通用 路 由 封装 协议 (GRE) 和 IP 安全 两 种 最 
流行 的 三 层 协 议 。 

1. 通用 路 由 封装 协议 (GRE) 

GRE 主要 规定 如 何 用 一 种 网 络 层 协议 去 封装 另 一 种 网 络 层 协议 的 方法 ,GRE 的 隧道 
由 其 两 端的 源 IP 地 址 和 目的 地 址 来 定义 。 它 允许 用 户 使 用 IP 封装 IP、IPX、AppleTalk 并 
支持 全 部 的 路 由 协议 如 RIP、.OSPF、IGRP 和 EIGRP。 因 而 用 户 可 以 通过 GRE 封装 利用 公 
共 IP 网 络 连接 IPX 网 络 、.AppleTalk 网 络 , 还 可 以 使 用 保留 地 址 进行 网 络 互 联 , 或 者 对 公共 
网 络 隐藏 企业 网 的 IP 地 址 。GRE 封装 过 程 如 图 7-6 所 示 。 


原始 IP 头 | 数据 载荷 | 原始 报 文 


新 IP 头 GRE 头 | 原始 P 头 | 数据 载荷 | 封装 后 报 文 


图 7-6 ”GRE 封装 示意 


GRE 只 提供 了 数据 包 的 封装 , 它 没有 加 密 功 能 来 防止 网 络 侦 听 和 攻击 ,所 以 在 实际 环 
境 中 它 常 和 IPSec 一 起 使 用 ,由 IPSec 提供 用 户 数据 的 加 密 ,给 用 户 提 供 更 好 的 安全 性 。 

2. IP 安全 协议 (IPSec) 

IPSec 支持 IP 网 络 上 的 数据 的 安全 传输 。 是 目前 比较 成 熟 , 应 用 广泛 的 网 络 层 安全 协 
议 。IPSec 是 一 组 开放 协议 的 总 称 , 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 结 
构 ,包括 验证 头 (Authentication Header, AH) 和 封装 安全 载荷 (Encapsulating Security 
Payload,ESP) 、 密 钥 管 理 协 议 (IKE) 和 用 于 网 络 验证 及 加 密 的 一 些 算法 等 。 

IPSec 的 主要 特征 在 于 它 可 以 对 所 有 IP 级 的 通信 进行 加 密 和 认证 , 正 是 这 一 点 才 使 
IPSec 可 以 确保 包括 远程 登录 .电子 邮件 .文件 传输 及 Web 访问 在 内 的 多 种 应 用 程序 的 安全 。 

使 用 IPSec 建立 VPN 是 一 套 比 较 成 熟 的 方案 ,在 7. 5 节 中 将 作为 VPN 一 个 实例 进行 
详细 介绍 。 


7.4.3 ”高 层 隧道 协议 


位 于 网 络 层 以 上 的 安全 协议 也 可 用 于 建立 安全 隧道 ,如 安全 套 接 层 (Secure Sockets 
Layer,SSL) 协 议 。SSL 协议 是 由 Netscape 公司 开发 的 Internet 数据 安全 协议 ,最终 版 本 为 


149 


150 
a 


3.0。IETF 将 SSL 作 了 标准 化 , 即 RFC 2246, 并 将 其 称 为 传输 层 安全 (Transport Layer 
Security,TLS) 协 议 ,其 最 新 版 本 是 RFC 5246( 版 本 1.2)。SSL 协议 位 于 TCP/IP 与 各 种 应 
用 层 协议 之 间 ,为 数据 通信 提供 安全 支持 。 目 前 已 被 广泛 地 用 于 Web 浏览 器 与 服务 器 之 间 
的 身份 认证 和 加 密 数 据 传输 。 

SSL 协议 可 分 为 两 层 。SSL 记录 协议 (SSL Record Protocol) : 它 建立 在 可 靠 的 传输 协 
议 ( 如 TCP) 之 上 ,为 高 层 协议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 。SSL 握手 协议 
(SSL Handshake Protocol) : 它 建立 在 SSL 记录 协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ， 
通信 双方 进行 身份 认证 ,协商 加 密 算 法 .交换 加 密 密 钥 等 。 

SSL VPN 是 SSL 协议 的 一 种 应 用 ,可 提供 远程 用 户 访问 内 部 网 络 数据 最 简单 的 安全 
解决 方案 。SSL VPN 最 大 的 优势 在 于 使 用 简便 ,通过 任何 安装 浏览 器 的 主机 都 可 以 使 用 
SSL VPN ,这 是 因为 浏览 器 都 集成 了 对 SSL 协议 的 支持 ,因此 不 需要 像 使 用 传统 IPSec 
VPN 那样 ,为 每 一 台 客户 机 安装 客户 端 软件 。 


7.5 虚拟 专用 网 实例 一 一 IPSec VPN 


IPSec VPN 是 IPSec 的 一 种 应 用 方式 ,其 主要 的 应 用 场景 可 分 为 三 种 。 

(1) Site-to-Site( 站 点 到 站 点 或 者 网 关 到 网 关 ): 如 一 个 机 构 的 三 个 分 支 机 构 分 布 在 互 
联网 的 3 个 不 同 的 地 方 , 各 使 用 一 个 网 关 相 互 建立 VPN 隧道 ,机 构 内 部 网 络 之 间 的 数据 通 
过 这 些 网 关 建 立 的 IPSec 隧道 实现 安全 互联 。 

(2) End-to-End( 端 到 端 或 主机 到 主机 ): 两 台 主机 之 间 的 通信 由 两 台 主机 之 间 的 
IPSec 会 话 保护 ,而 不 是 网 关 。 

(3) End-to-Site( 端 到 站 点 或 主机 到 网 关 ): 两 台 主 机 之 间 的 通信 由 网 关 和 异地 主机 之 
间 的 IPSec 进行 保护 。 


7.5.1 IPSec 概述 


目前 使 用 的 互联 网 协议 (IPv4) 在 制定 时 ,主要 考虑 的 是 实现 网 络 通信 功能 和 提高 通信 
效率 ,而 缺乏 对 网 络 安全 问题 的 考虑 ,因此 IPv4 存在 有 不 少 的 安全 缺陷 。 主 要 体现 在 以 下 
几 方 面 。 

(1) IPv4 通信 基于 IP 地 址 ,由 于 IP 地 址 容易 伪造 和 算 改 ,因此 很 难 认证 数据 的 真实 
来 源 。 

(2) IPv4 没有 为 数据 提供 完整 性 机 制 。IP 头 部 校 验 和 提供 了 一 定 的 完整 性 保护 ,但 未 
提供 防 算 改 机 制 , 因 此 攻击 者 可 以 在 修改 分 组 之 后 重新 计算 校 验 和 。 

(3) IPv4 没有 为 数据 提供 任何 形式 的 机 密 性 保护 。 

如 果 不 采取 附加 的 安全 措施 ,IP 通信 会 暴露 在 多 种 威胁 之 下 ,例如 窃听 、 算 改 、IP 欺骗、 
重 放 攻 击 等 。 

在 新 一 代 互 联网 协议 (IPv6) 制 定 过 程 中 ,安全 问题 受到 了 重视 ,针对 网 络 层 通信 安全 的 
IPSec 应 运 而 生 。 鉴 于 IPv4 的 应 用 仍然 很 广泛 ,在 IPSec 的 制定 过 程 中 也 考虑 了 对 IPv4 的 
支持 。 两 者 的 区 别 在 于 ,在 IPv6 中 IPSec 是 不 可 缺少 的 组 成 部 分 ,而 在 IPv4 中 则 属于 可 选 
项 。 第 一 版 IPSec 协议 在 RFC2401 一 2409 中 定义 。2005 年 IETF 发 布 了 第 二 版 标准 文档 
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RFC4301 和 RFC4309。 
7.5.2 |PSec 的 设计 目标 


IPSec 实质 上 是 一 种 加 密 的 标准 ,使 用 IPSec 可 以 为 在 网 络 层 通信 的 两 个 端点 之 间 建 立 
一 条 加 密 的 .可靠 的 数据 通道 ,其 设计 实现 的 重要 目标 包括 如 下 几 个。 

(1) 可 认证 IP 报 文 的 来 源 。 基 于 IP 地 址 的 访问 控制 十 分 脆弱 ,因为 攻击 者 可 以 很 容 
易 利 用 伪装 的 IP 地 址 来 发 送 IP 报 文 。 许 多 攻击 者 利用 机 器 间 基 于 IP 地 址 的 信任 ,来 伪装 
IP 地 址 。IPSec 允许 设备 使 用 比 源 IP 地 址 更 安全 的 方式 来 认证 IP 数据 报 的 来 源 。IPSec 
的 这 一 标准 称 为 原始 认证 (Origin Authentication,OA)。 

(2) 可 保证 IP 报 文 的 完整 性 。 除 了 确认 IP 报 文 的 来 源 ,还 希望 能 确保 报 文 在 网 络 中 
传输 时 没有 发 生变 化 。 使 用 IPSec, 可 以 确信 在 IP 报 文 上 没有 发 生 任何 变化 。IPSec 的 这 
一 特性 称 为 无 连接 完整 性 。 

(3) 可 保护 IP 报 文 内 容 的 私密 性 。 除 了 可 认证 与 完整 性 之 外 ,在 报 文 的 传输 过 程 中 ， 
未 授权 方 不 能 读 取 报 文 的 内 容 。 这 可 以 通过 在 传输 前 ,将 报 文 加 密 来 实现 。 通 过 加 密 报 文 ， 
可 以 确保 攻击 者 不 能 破解 报 文 的 内 容 , 即 使 他 们 可 以 用 侦 听 程序 截获 报 文 。 

(4) 可 防止 认证 报 文 被 重 放 。 攻 击 者 可 能 通过 重 放 截 获 的 认证 报 文 来 干扰 正常 的 通 
信 , 从 而 导致 事务 多 次 执行 ,或 是 使 被 复制 报 文 的 上 层 应 用 发 生 混乱 。 因 此 ,IPSec 需要 能 
检测 出 重复 报 文 并 将 其 丢弃 。 


7.5.3 IPSec 的 体系 结构 


IPSec 不 是 一 个 单独 的 协议 , 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 结 
构 。 该 体系 结构 包括 认证 头 (Authentication Header, AH) 协 议 、 封 装 安 全 负载 (Encapsulating 
Security Payload,ESP) 协 议 .互联 网 密 钥 交换 协议 (Internet Key Exchange,IKE) 和 用 于 网 
络 认证 及 加 密 的 一 些 算法 等 。IPSec 规定 了 如 何在 对 等 体 之 间 选 择 安全 协议 、 确 定安 全 算 
法 和 密 钥 交 换 , 向 上 提供 了 访问 控制 .数据 源 认 证 .数据 加 密 等 网 络 安全 服务 。 

AH 协议 是 IPSec 体系 结构 中 的 一 种 主要 协议 , 它 为 IP 数据 包 提供 无 连接 完整 性 与 数 
据 源 认证 ,并 提供 保护 以 避免 重播 情况 。AH 尽 可 能 为 IP 头 和 上 层 协议 数据 提供 足够 多 的 
认证 。 

IPSec ESP 协议 是 IPSec 体系 结构 中 的 一 种 主要 协议 。ESP 加 密 需要 保护 的 数据 并 且 
在 IPSec ESP 的 数据 部 分 进行 数据 的 完整 性 校 验 ,以 此 来 保证 机 密 性 和 完整 性 。ESP 提供 
了 与 AH 相同 的 安全 服务 并 提供 了 一 种 保密 性 (加 密 ) 服 务 ,ESP 与 AH 各自 提 供 的 认证 方 
式 的 主要 区 别 在 于 它们 的 覆盖 范围 。 

IKE 是 一 种 混合 型 协议 ,由 安全 联盟 (Security Association, SA) 和 密 钥 管理 协议 
(ISAKMP) 这 两 种 密 钥 交 换 协 议 组 成 。IKE 用 于 协商 AH 和 ESP 所 使 用 的 密码 算法 ,并 将 
算法 所 需 的 必 备 密 钥 放 到 恰当 位 置 。 

IPSec 工作 时 ,首先 两 端的 网 络 设备 必须 就 SA 达成 一 致 ,这 是 两 者 之 间 的 一 项 安全 策 
略 协定 。 

1. 安全 联盟 

IPSec 在 两 个 端点 之 间 提 供 安全 通信 ,两 个 端点 被 称 为 IPSec ISAKMP 网 关 。SA 是 
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IPSec 的 基础 ,用 于 描述 通信 对 等 体 间 对 某 些 要 素 的 约定 ,例如 使 用 哪 种 协议 .协议 的 操作 
模式 、 加 密 算法 (DES、3DES、AES-128、AES-192 和 AES-256) ,特定 流 中 保护 数据 的 共享 密 
钥 以 及 SA 的 生存 周期 等 。 

SA 是 单 向 的 ,在 两 个 对 等 体 之 间 的 双向 通信 ,最 少 需 要 两 个 SA 来 分 别 对 两 个 方向 的 
数据 流 进行 安全 保护 。SA 可 以 被 看 成 两 个 IPSec 对 等 端 之 间 的 一 条 安全 隧道 ,可 以 为 不 同 
类 型 的 流量 创建 独立 的 SA, 例 如 一 台 主 机 与 多 台 主 机 同时 进行 安全 性 通信 时 可 能 存在 多 
种 关联 。 这 种 情况 经 常 发 生 在 当主 机 是 用 做 文件 服务 器 或 向 多 个 客户 提供 服务 的 远程 访问 
服务 器 的 时 候 。 一 台 主 机 也 可 以 与 另 一 台 主 机 有 多 个 SA, 例 如 可 以 在 两 台 主 机 之 间 为 
TCP 建立 独立 的 SA ,并 在 同样 两 台 主 机 之 间 建 立 另 一 条 支持 UDP 的 SA。 甚 至 可 以 为 每 
个 TCP 或 UDP 端口 建立 分 离 的 SA。 在 这 些 情 况 下 ,接收 端 主机 使 用 安全 参数 索引 
(Security Parameter Index,SPJ) 来 决定 将 使 用 哪 种 SA 处 理 传人 的 数据 包 。SPI 是 一 个 分 
配给 每 个 SA 的 字 串 ,用 于 区 分 多 个 存在 于 接收 端 主机 上 的 安全 关联 。 

2. SA 建立 方式 

建立 SA 的 方式 有 两 种 ,一 种 是 手工 方式 ,一 种 是 IKE 自动 协商 方式 (使 用 ISAKMP 协议 )。 

手工 方式 配置 比较 复杂 ,创建 安全 联盟 所 需 的 全 部 信息 都 必须 手工 配置 , 且 不 能 支持 
IPSec 的 一 些 高 级 特性 (例如 周期 性 密 钥 更 新 ) ,但 优点 是 可 以 不 依赖 IKE 而 单独 实现 IPSec 
功能 。 该 方式 适用 于 当 与 之 进行 通信 的 对 等 体 设备 数量 较 少 的 情况 ,或 是 在 小 型 静态 环 
境 中 。 

IKE 自动 协商 方式 相对 比较 简单 ,只 需要 配置 好 IKE 协商 安全 策略 的 信息 ,由 IKE 自 
动 协 商 来 创建 和 维护 SA。 该 方式 适用 于 中 、 大 型 的 动态 网 络 环境 中 。 该 方式 建立 SA 的 过 
程 分 两 个 阶段 : 第 一 阶段 ,协商 创建 一 个 通信 信道 SA ,并 对 该 信道 进行 认证 ,为 双方 进一步 
的 IKE 通信 提供 机 密 性 、 数 据 完整 性 以 及 数据 源 认证 服务 ; 第 二 阶段 ,使 用 已 建立 的 
ISAKMP SA 建立 IPSec SA。 分 两 个 阶段 来 完成 这 些 服务 有 助 于 提高 密 钥 交换 的 速度 。 

第 一 阶段 SA 是 为 建立 信道 而 进行 的 SA。 其 步骤 如 下 。 

(1) 参数 配置 。 包 括 : 选择 预 共享 密 钥 或 数字 证 书 认证 Diffie- Hellman 组 作为 认证 方法 。 

(2) 策略 协商 。 包 括 : 选择 DES、3DES、AES-128、AES-192 或 AES-256 中 的 某 一 种 作 
为 加 密 算法 ; 选择 MD5 或 SHA 之 一 作为 摘要 算法 。 

(3) DH 交换 。 两 台 通信 主机 之 间 执 行 DH 秘密 交换 协议 生成 共享 的 主 密 钥 (Master 
Key,MK) ,并 以 之 保护 后 续 的 认证 过 程 。 

(4) 认证 。DH 交换 需要 得 到 进一步 认证 ,如 果 认 证 不 成 功 ,通信 将 无 法 继续 。MK 结 
合 在 第 一 步 “ 参 数 配 置 " 中 确定 的 协商 算法 ,对 通信 实体 和 通信 信道 进行 认证 。 在 这 一 步 中 ， 
整个 待 认证 的 实体 载荷 ,包括 实体 类 型 .端口 号 和 协议 , 均 由 上 一 步 生 成 的 MK 提供 机 密 性 
和 完整 性 保证 。 

第 二 阶段 SA 为 快速 SA ,为 数据 传输 而 建立 的 安全 联盟 。 这 一 阶段 协商 建立 IPSec 
SA ,为 数据 交换 提供 IPSec 服务 。 第 二 阶段 协商 消息 受 第 一 阶段 SA 保护 ,任何 没有 第 一 阶 
段 SA 保护 的 消息 将 被 拒 收 。 协 商 的 步骤 如 下 。 

(1) 策略 协商 ,双方 交换 保护 需求 : 使 用 的 IPSec 协议 (AH 或 ESP) ,是 否 使 用 摘要 算 
法 (MD5、\ SHA 或 NULL) ,是 否 要 求 加 密 ( 若 是 ,选择 加 密 算 法 DES、3DES、AES-128、AES- 
192、AES-256) ,在 上 述 三 方面 达成 一 致 后 ,将 建立 起 两 个 SA ,分 别 用 于 入 站 和 出 站 通信 。 
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(2) 会 话 密 钥 刷新 或 交换 。 在 这 一 步 中 ,将 通过 DH 交换 生成 加 密 IP 数据 包 的 会 话 
密 钥 。 
(3) 将 SA 递交 给 IPSec 驱动 程序 。 

在 第 二 阶段 协商 过 程 中 ,如 果 响 应 超时 , 则 自动 尝试 重新 进行 第 二 阶段 SA 协商 。 

IPSec 驱动 程序 负责 监视 ,筛选 和 保护 IP 通信 。 它 负责 监视 所 有 出 入 站 IP 数据 包 , 并 
将 每 个 IP 数据 包 与 作为 IP 策略 一 部 分 的 IP 筛选 器 相 匹配 。 一 旦 匹配 成 功 ,IPSec 驱动 程 
序 通 知 IKE 开始 安全 协商 。 图 7-7 为 IPSec 驱动 程序 工作 流程 示意 图 。 

在 安全 协商 和 密 钥 保 护 成 功 完成 后 ,发 送 端 IPSec 驱动 程序 执行 以 下 步骤 。 

(1) 从 IKE 处 获得 SA 和 会 话 密 钥 。 

(2) 在 IPSec 驱动 程序 数据 库 中 查找 相 匹 配 的 出 站 SA, 并 将 SA 中 的 SPI 插入 IPSec 报头 。 

(3) 对 数据 包 签 名 进行 完整 性 检查 ; 如 果 要 机 密 保护 , 则 另外 加 密 数 据 包 。 

(4) 将 数据 包 随 同 SPI 发 送 至 IP 层 , 然 后 进一步 转发 至 目的 主机 。 

接收 端 IPSec 驱动 程序 执行 以 下 步骤 : 

(1) 从 IKE 处 获得 会 话 密 钥 ,SA 和 SPI; 

(2) 通过 目的 地 址 和 SPI 在 IPSec 驱动 程序 数据 库 中 查找 匹配 入 站 SA; 

(3) 检查 签名 ,对 数据 包 进 行 解密 (如 果 是 加 密 包 的 话 ); 

(4) 将 数据 包 递交 给 TCP/IP 驱动 程序 ,然后 再 交 给 接收 应 用 程序 。 

在 建立 了 IKE 和 SA 的 概念 后 ,完整 的 IPSec 体系 结构 如 图 7-8 所 示 。 


1 SA 协商 IKE 
IP 数 据 包 
IP 过 滤器 列表 
过 滤器 列表 | 主机 B 
这 [LW 
Es IPSec 驱 动 程序 TCP/UDP 伟 输 慎 | | Sy。 sa 对 | [CPUDP 传 输 层 
I 1 
要 保护 数据 包 IPSec 驱动 程序 1PSec 驱 动 程序 
网 络 层 
网 络 -| 受 保护 IP 数 据 包 
图 7-7 IPSec 驱动 程序 工作 流程 图 7-8 IPSec 体系 结构 


为 简化 对 IPSec 工作 过 程 的 描述 ,假定 这 时 主机 A 和 主机 B 处 在 同一 内 部 网 络 
(Intranet) 中 ,每 台 主机 都 有 处 于 激活 状态 的 IPSec 策略 。 

(1) 用 户 甲 ( 在 主机 A 上 ) 向 用 户 乙 (在 主机 B 上) 发 送 一 消息 。 

(2) 主机 A 上 的 IPSec 驱动 程序 检查 IP 筛选 器 ,查看 数据 包 是 否 需 要 受 保护 以 及 需要 
受到 何 种 保护 。 

(3) 驱动 程序 通知 IKE 开始 安全 协商 。 

(4) 主机 B 上 的 IKE 收 到 请 求 安全 协商 通知 。 
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(5) 两 台 主机 建立 第 一 阶段 SA 对 ,各 自生 成 共享 主 密 钥 。 注 意 , 若 两 机 在 此 前 通信 中 
已 经 建立 起 第 一 阶段 SA, 则 可 直接 进行 第 二 阶段 SA 协商 。 

(6) 协商 建立 第 二 阶段 SA 对 : 入 站 SA 和 出 站 SA,SA 包括 密 钥 和 SPI。 

(7) 主机 A 上 IPSec 驱动 程序 使 用 出 站 SA 对 数据 包 进 行 签名 (完整 性 检查 ) 与 /或 加 密 。 

(8) 驱动 程序 将 数据 包 递 交 IP 层 , 再 由 IP 层 将 数据 包 转 发 至 主机 B。 

(9) 主机 B 网 络 适配器 驱动 程序 收 到 数据 包 并 提交 给 IPSec 驱动 程序 。 

(10) 主机 B 上 的 IPSec 驱动 程序 使 用 入 站 SA 检查 完整 性 签名 与 /或 对 数据 包 进 行 解密 。 

(11) 驱动 程序 将 解密 后 的 数据 包 提 交 上 层 TCP/IP 驱动 程序 ,再 由 TCP/IP 驱动 程序 
将 数据 包 提 交 主 机 B 的 接收 应 用 程序 。 


7.5.4 IPSec 的 工作 模式 


IPSec 在 IP 报 文中 使 用 一 个 新 的 IPSec 报头 来 封装 信息 ,这 个 过 程 类 似 于 用 一 个 正常 
的 IP 报 文 头 封装 上 层 的 TCP 或 UDP 信息。 新 的 IPSec 报 文 包含 IP 报 文 认 证 的 信息 , 原 
始 IP 报 文 的 内 容 , 可 以 根据 特定 应 用 的 需求 选择 加 密 与 否 。IPSec 在 进行 IP 报 文 封装 时 提 
供 了 两 种 封装 模式 : 传输 (Transport) 模 式 和 隧道 CTunnel) 模 式 。 

如 果 IPSec 封装 整个 IP 数据 包 , 那 么 它 就 工作 在 隧道 模式 (Tunnel Mode); 如 果 IPSec 
只 封装 IP 数据 包 中 上 层 协议 信息 ,那么 它 就 工作 在 传输 模式 (Transportation Mode), 如 
图 7-9 所 示 。 


新 IP 头 | IPSec 头 (AH/ESP) | 原始 IP 报 文 
(a) 隧道 模式 


原始 IP 头 | IPSec 头 (AH/ESP) | 原始 上 层 信 息 
(b) 传输 模式 
7-9 IPSec 封装 模式 


通过 图 7-9 可 以 发 现 传输 模式 和 隧道 模式 的 区 别 : 

(1) 传输 模式 在 IPSec 处 理 前 后 IP 头 部 保持 不 变 , 主 要 用 于 End-to-End 的 应 用 场景 ; 

(2) 隧道 模式 则 在 IPSec 处 理 之 后 再 封装 了 一 个 外 网 IP 头 , 主 要 用 于 Site-to-Site 的 应 
用 场景 。 

IPSec 的 报头 有 两 种 形式 : 认证 报头 (Authentication Header, AH) 和 封装 安全 负载 
(Encapsulating Security Payload,ESP) 。 

(1) 认证 报头 (AH) : 为 整个 数据 包 ( 数 据 包 中 携带 的 IP 报头 和 数据 ) 提 供 身 份 验证 、 
完整 性 和 防止 重 发 ,AH 还 包含 整个 数据 包 的 签名 。 因 为 AH 不 加 密 数 据 , 所 以 不 提供 机 密 
性 。 数 据 可 以 读 取 , 但 是 可 以 防止 算 改 。AH 使 用 HMAC 算法 来 签署 数据 包 。 

例如 ,使 用 主机 A 的 Alice 将 数据 发 送 给 使 用 主机 B 的 Bob。IP 报头 .AH 报头 和 数据 
通过 签名 来 防止 修改 。 这 意味 着 Bob 可 以 确定 确实 是 Alice 发 送 的 数据 并 且 数 据 未 经 修改 。 

完整 性 和 身份 验证 通过 在 新 全 头 和 原始 全 头 之 间 放 和 置 AH 报头 来 提供 ,如 图 7-10 所 示 。 

(2) 封装 安全 负载 (ESP) : 除了 身份 验证 、 完 整 性 和 防止 重 发 外 ,还 提供 机 密 性 。 除 非 
使 用 隧道 ,否则 ESP 通常 不 签署 整个 数据 包 , 即 通常 只 保护 数据 ,而 不 保护 IP 报头 。ESP 
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新 IP 头 | AH 头 | 原始 IP 头 |TCP/UDP 头 应 用 层 数 据 | 


完整 性 检查 部 分 (数字 签名 ) 
图 7-10 AH 报 文 格式 


主要 使 用 DES 或 3DES 加 密 算法 为 数据 包 提 供 保 密 性 。 

例如 ,使 用 主机 A 的 Alice 将 数据 发 送 给 使 用 主机 B 的 Bob。 因 为 ESP 提供 机 密 性 ， 
所 以 数据 被 加 密 。 对 于 接收 ,在 验证 过 程 完成 后 ,数据 包 的 数据 部 分 将 被 解密 。Bob 可 以 确 
定 确实 是 Alice 发 送 的 数据 并 且 数 据 未 经 修改 ,其 他 人 无 法 读 取 这 些 数据 。 

安全 性 通过 在 新 IP 头 和 原始 IP 头 之 间 放 置 ESP 报头 来 提供 ,如 图 7-11 所 示 。 


新 IP 头 | ESP 头 | 原始 IP 头 | TCP/IP 头 | 应 用 层 数据 | 填充 “| ESP 认 证 报 尾 


| 
完整 性 检查 部 分 (数字 签名 ) | 


1 
1 
1 
必 


加 密 部 分 
图 7-11 ESP 报 文 格式 
在 图 7-11 中 ,IP 和 ESP 报头 封装 了 最 终 的 源 和 目的 间 的 数据 包 。 数 字 签 名 区 指示 数 


据 包 进 行 完 整 性 保护 的 部 分 。 加 密 部 分 指示 整个 原始 数据 包 被 加 密 。AH 和 ESP 的 安全 
功能 比较 如 表 7-2 所 示 。 


表 7-2 AH、ESP 的 安全 功能 比较 


功 能 AH ESP 
源 认 证 有 有 
完整 性 有 有 
反 重 放 有 有 
保密 性 无 有 
流量 认证 无 有 


7.6 虚拟 专用 网 的 技术 格局 和 发 展 趋势 


VPN 发 展 至 今 已 经 不 再 是 简单 提供 一 条 加 密 的 访问 隧道 ,很 多 VPN 系统 已 经 融合 了 
访问 控制 .传输 管理 .加 密 、 路 由 选择 、 可 用 性 管理 等 多 种 功能 ,并 在 网 络 安全 体系 中 发 挥 着 
重要 的 作用 。 以 下 从 技术 格局 和 发 展 趋势 两 个 方面 简要 分 析 VPN 技术 的 未 来 发 展 。 


7.6.1 技术 格局 


目前 VPN 解决 方案 中 主流 的 通信 隧道 协议 是 IPSec, 受 到 了 VPN 供应 商 的 高 度 支持 ， 
并 成 为 目前 最 主流 的 VPN 基础 技术 。 

自 2001 年 IETF 公布 了 MPLS 标准 之 后 ,MPLS 被 公认 为 下 一 代 网 络 的 基础 协议 。 与 
基于 IPSec 的 VPN 不 同 ,MPLS 通过 标签 交换 路 径 (LSP) 为 VPN 提供 通信 隧道 。 这 种 方 


156 
i 


式 使 路 由 转发 和 数据 传输 分 离 ,实现 了 灵活 的 第 三 层 路 由 功能 和 高 效 的 第 二 层 数 据 转 发 ,也 
使 得 MPLS VPN 可 以 提供 高 质量 的 传输 服务 。 

PPTP 是 由 包括 微软 和 3Com 等 公司 组 成 的 PPTP 论坛 开发 的 一 种 点 对 点 隧道 协议 。 
由 于 微软 在 服务 器 和 桌面 操作 系统 中 提供 该 协议 的 支持 ,使 得 PPTP 成 为 远程 访问 型 VYPN 
连接 的 最 常用 协议 。 

基于 SSL 协议 的 VPN 技术 是 近年 来 远程 访问 VPN 领域 出 现 的 新 兴 力 量 。SSL VPN 
的 主要 特点 是 简单 易 用 , 主要 缺点 是 工作 在 应 用 层 与 传输 层 之 间 , 因 此 不 像 IPSec VPN 那 
样 可 适用 于 所 有 基于 TCP/IP 的 应 用 。 基 于 SSL 的 VPN 最 大 的 应 用 优势 来 自 对 Web 应 
用 的 支持 ,事实 上 这 也 是 一 种 网 络 应 用 Web 化 所 催生 的 VPN 架构 。 

此 外 还 有 基于 L2TP 的 VPN 等 解决 方案 ,但 在 整体 的 VPN 技术 格局 中 并 未 占 主体 的 
地 位 。 


7.6.2 发 展 趋势 

1. SSL VPN 发 展 加 速 

由 于 网 络 应 用 的 Web 化 趋势 明显 ,所 以 SSL VPN 快速 发 展 的 形势 将 得 到 延续 。SSL 
VPN 很 可 能 在 不 久 的 将 来 成 为 和 IPSec/MPLS VPN 分 庭 抗 礼 的 VPN 架构 。 

2. 服务 质量 有 待 加 强 

由 于 承载 VPN 流量 的 非 专 用 网 络 通常 不 提供 服务 质量 保障 (QoS) ,所 以 VPN 解决 方 
案 必须 整合 QoS 解决 方案 ,才能 够 提供 满足 不 同 用 户 需 求 的 可 用 性 。 目 前 IETF 已 经 提出 
了 支持 QoS 的 带宽 资源 预 留 协议 (RSVP) ,而 IPv6 也 提供 了 处 理 QoS 的 能 力 。 这 为 VPN 
技术 在 服务 质量 上 的 进一步 改善 提供 了 足够 的 保障 。 

3. 基础 设施 化 趋势 显现 

随 着 IPv6 的 发 展 ,VPN 技术 有 可 能 以 IP 中 基础 协议 的 形式 出 现 。 这 样 VPN 将 有 机 
会 被 作为 基础 的 网 络 安全 组 件 嵌 入 各 种 系统 中 ,从 而 使 VPN 成 为 完全 透明 化 的 网 络 安全 
基础 设施 。 


习题 7 


. 什么 是 VPN? 它 包含 哪 两 层 含义 ? 

. 简 述 VPN 的 优点 。 

. VPN 有 哪 几 种 分 类 方式 ? 简 述 按 服务 类 型 划分 VPN 的 方法 。 
. 简 述 隧道 技术 的 工作 原理 。 

. L2TP 和 PPTP 同属 第 二 层 隧道 协议 ,之 间 有 何 区 别 ? 

. 简 述 IPSec VPN 的 应 用 场景 。 

. 简 述 IPSec VPN 的 工作 模式 及 其 区 别 。 

. 简 述 IPSec 报头 的 类 型 和 区 别 。 

. 简 述 VPN 的 发 展 趋势 。 


Co 大 wD 


访问 控制 第 8 章 


在 今天 ,高 速 发 展 的 互联 网 已 经 深入 到 社会 生活 的 各 个 方面 。 对 个 人 而 
言 , 互 联网 已 使 人 们 的 生活 方式 发 生 了 翻天 覆 地 的 变化 ; 对 企业 而 言 ,互联 网 
改变 了 企业 传统 的 营销 方式 及 其 内 部 管理 机 制 。 但 是 ,在 享受 信息 的 高 度 网 
络 化 带 来 的 种 种 便利 之 时 ,我 们 还 必须 应 对 随 之 而 来 的 信息 安全 方面 的 种 种 
挑战 。 没 有 安全 保障 的 网 络 可 以 说 是 一 座 空中 楼 阁 ,安全 性 已 逐渐 成 为 网 络 
建设 的 第 一 要 素 。 特 别 随 着 网 络 规模 的 逐渐 增 大 ,所 储存 的 数据 逐渐 增多 ， 
使 用 者 要 求 网 络 能 够 对 不 同 来 源 、 不 同 角色 所 提出 的 网 络 访问 进行 控制 ,以 
确保 自己 的 资源 不 受到 非法 的 访问 与 自 改 ,这 就 需要 用 到 访问 控制 机 制 。 


8.1 访问 控制 概述 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 核心 策略 , 它 的 主要 任务 是 保证 
网 络 资源 不 被 非法 使 用 和 访问 。 访 问 控制 规定 了 主体 对 客体 访问 的 限制 ,并 
在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 它 是 对 信 
息 系 统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 基础 的 安全 机 
制 。 互 联网 的 发 展 为 信息 资源 的 共享 提供 了 更 加 完善 的 手段 ,企业 在 信息 资 
源 共 享 的 同时 也 要 阻止 非 授 权 用 户 对 企业 敏感 信息 的 访问 。 访问 控制 的 目 
的 是 保护 企业 在 信息 系统 中 存储 和 处 理 的 信息 的 安全 。 

访问 控制 决定 了 谁 能 够 访问 系统 、 能 访问 系统 的 何 种 资源 以 及 如 何 使 用 
这 些 资 源 。 适 当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数 
据 。 访 问 控制 的 手段 包括 用 户 识 别 代码 口令 .登录 控制 .资源 授权 (例如 用 
户 配 置 文件 ,资源 配置 文件 和 控制 列表 ) 授权 核查 .日 志和 审计 等 。 

安全 访问 控制 (Access Control) 是 众多 计算 机 安全 解决 方案 中 的 一 种 ， 
是 最 直观 最 自然 的 一 种 方案 。 信 息 安全 的 风险 (Information Security Risks) 
可 以 被 广泛 地 归结 为 CIA: 信息 机 密 性 (Confidentiality)、 信 息 完 整 性 
(Integrity) 和 信息 可 用 性 (Availability) 。 访 问 控制 主要 为 信息 机 密 性 和 信息 
完整 性 提供 保障 。 
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8.1.1 访问 控制 的 内 容 


访问 控制 是 指 主体 依据 某 些 控 制 策 略 或 权限 对 客体 本 身 或 是 其 资源 进行 不 同 的 授权 访 
问 。 访问 控制 包括 三 个 要 素 , 即 主体 、 客 体 和 控制 策略 。 

(1) 主体 (Subject) : 是 指 一 个 提出 请 求 或 要 求 的 实体 ,是 动作 的 发 起 者 ,但 不 一 定 是 动 
作 的 执行 者 , 简 记 为 S$。 主体 可 以 是 用 户 或 其 他 任何 代理 用 户 行为 的 实体 (例如 进程 ,作业 
和 程序 )。 我 们 这 里 规定 实体 (Entity) 表 示 一 个 计算 机 资源 (物理 设备 、 数 据 文件 .内存 或 进 
程 ) 或 一 个 合法 用 户 。 

(2) 客体 (Object) : 是 接受 其 他 实体 访问 的 被 动 实体 , 简 记 为 0。 客 体 的 概念 也 很 广 
泛 , 凡 是 可 以 被 操作 的 信息 、 资 源 、 对 象 都 可 以 认为 是 客体 。 在 信息 社会 中 ,客体 可 以 是 信 
息 、 文 件 , 记 录 等 的 集合 体 , 也 可 以 是 网 络 上 的 硬件 设施 、 无 线 通信 中 的 终端 ,甚至 一 个 客体 
可 以 包含 男 外 一 个 客体 。 

(3) 控制 策略 : 是 主体 对 客体 的 操作 行为 集 和 约束 条 件 集 , 简 记 为 KS。 简单 讲 , 控 制 
策略 是 主体 对 客体 的 访问 规则 集 , 这 个 规则 集 直接 定义 了 主体 对 客体 的 作用 行为 和 客体 对 
主体 的 条 件 约束 。 访 问 策略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 主体 的 权限 允许 ,这 种 允许 
不 超越 规则 集 , 由 其 给 出 。 

访问 控制 系统 三 个 要 素 之 间 的 行为 关系 可 以 使 用 三 元 组 (S,O,P) 来 表示 ,其 中 S 表示 
主体 ,O 表示 客体 ,P 表示 许可 。 当 主体 S 提出 一 系列 正常 的 请 求 信息 [1 ,1,…,1,, 通 过 信 
息 系统 的 入 口 到 达 控 制 规则 集 KS 监视 的 监控 器 ,由 KS 判断 是 否 允 许 或 拒绝 这 次 请 求 , 因 
此 这 种 情况 下 ,必须 先 要 确认 是 合法 的 主体 ,而 不 是 假冒 的 欺骗 者 ,也 就 是 对 主体 进行 认证 。 
主体 通过 验证 ,才能 访问 客体 ,但 并 不 保证 其 有 权限 可 以 对 客体 进行 操作 。 客 体 对 主体 的 具 
体 约束 由 访问 控制 表 来 控制 实现 ,对 主体 的 验证 一 般 会 鉴别 用 户 的 标识 和 用 户 密 码 。 用 户 
标识 (User Identification,UID) 是 一 个 用 来 鉴别 用 户 身份 的 字符 串 ,每 个 用 户 有 且 只 能 有 唯 
一 的 一 个 用 户 标识 ,以 便 与 其 他 用 户 区 别 。 当 一 个 用 户 注册 进入 系统 时 ,他 必须 提供 其 用 户 
标识 ,然后 系统 执行 一 个 可 靠 的 审查 来 确信 当前 用 户 是 对 应 用 户 标 识 的 那个 用 户 。 

访问 控制 的 实现 首先 要 考虑 对 合法 用 户 进行 验证 ,然后 是 对 控制 策略 的 选用 与 管理 ,最 
后 要 对 非法 用 户 或 是 越权 操作 进行 管理 。 所 以 ,访问 控制 包括 认证 ,控制 策略 实现 和 审计 三 
方面 的 内 容 。 

(1) 认证 : 主体 对 客体 的 识别 认证 和 客体 对 主体 的 检验 认证 。 主 体 和 客体 的 认证 关系 
是 相互 的 , 当 一 个 主体 受到 另外 一 个 客体 的 访问 时 ,这 个 主体 也 就 变 成 了 客体 。 一 个 实体 可 
以 在 某 一 时 刻 是 主体 ,而 在 另 一 时 刻 是 客体 ,这 取决 于 当前 实体 的 功能 是 动作 的 执行 者 还 是 
动作 的 被 执行 者 。 

(2) 控制 策略 的 具体 实现 : 如 何 设 定 规则 集合 从 而 确保 正常 用 户 对 信息 资源 的 合法 使 
用 , 既 要 防止 非法 用 户 , 也 要 考虑 敏感 资源 的 泄漏 ,对 于 合法 用 户 而 言 , 更 不 能 越权 行使 控制 
策略 所 赋予 其 权利 以 外 的 功能 。 

(3) 审计 : 审计 的 重要 意义 在 于 ,比如 客体 的 管理 者 即 管理 员 有 操作 赋予 权 , 他 有 可 能 
滥用 这 一 权利 ,这 是 无 法 在 策略 中 加 以 约束 的 。 必 须 对 这 些 行为 进行 记录 ,从 而 达到 威慑 和 
保证 访问 控制 正常 实现 的 目的 。 
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8.1.2 访问 控制 的 结构 


访问 控制 的 基本 任务 是 保证 对 客体 的 所 有 直接 访问 都 是 被 认可 的 。 它 通过 对 程序 与 数 
据 的 读 、 写 、 更 改 和 删除 的 控制 ,保证 系统 的 安全 性 和 有 效 性 ,以 免 受 偶然 的 和 蓄意 的 侵犯 。 
访问 控制 是 依据 一 套 为 信息 系统 规定 的 安全 策略 和 支持 这 些 安全 策略 的 执行 机 制 实 现 的 。 
访问 控制 的 有 效 性 建立 在 两 个 前 提 上 。 第 一 个 前 提 是 用 户 鉴别 与 确定 ,保证 每 个 用 户 只 能 
行使 自己 的 访问 权限 ,没有 一 个 用 户 能 够 获得 另 一 个 用 户 的 访问 权 。 这 一 前 提 是 在 用 户 进 
入 系统 时 登录 过 程 中 对 用 户 进行 确认 之 后 完成 的 。 第 二 个 前 提 是 “说 明 每 一 个 用 户 或 程序 
的 访问 权 信息 是 受 保护 的 ,是 不 会 被 非法 修改 的 ”, 该 前 提 是 通过 对 系统 客体 与 用 户 客体 的 
访问 控制 获得 的 。 

访问 控制 的 相关 术语 定义 如 下 。 

(1) 授权 : 资源 的 所 有 者 或 控制 者 准许 其 他 人 访问 这 种 资源 。 

(2) 目标 : 访问 控制 的 资源 对 象 。 

(3) 权威 机 构 : 目标 的 拥有 者 或 控制 者 。 

(4) 用 户 : 访问 目标 的 负责 任 的 人 。 

(5) 发 起 者 : 积极 访问 目标 的 用 户 或 用 户 行为 的 代理 。 

通常 ,有 两 种 方法 来 阻止 未 授权 用 户 访问 目标 。 其 一 ,访问 请 求 过 滤器 : 当 一 个 发 起 者 
试图 访问 一 个 目标 时 ,需要 检查 发 起 者 是 否 被 准予 以 请 求 的 方式 访问 目标 。 其 二 ,分 离 : 防 
止 未 授权 用 户 有 机 会 去 访问 敏感 的 目标 。 这 两 种 方法 都 与 访问 控制 的 主体 有 关 , 并 且 由 相 
同 的 策略 来 驱动 。 访 问 请 求 过 滤器 包含 访问 控制 机 制 , 分 离 可 能 牵涉 到 的 各 种 各 样 对 策 中 
的 任何 一 种 ,包括 物理 安全 .个 人 安全 、 硬 件 安 全 和 操作 系统 安全 。 

访问 控制 授权 方案 有 很 多 种 ,但 是 都 可 以 抽象 表示 成 如 图 8-1 所 示 。 
提交 访问 执行 访问 
访问 阁 请 求 次 问 折 币 所 行 音 和 请 求 | 目标 
决策 请 求 ms 


访问 控制 决策 单元 | 
(ADF) 


8-1 访问 控制 模型 的 组 成 


访问 控制 就 是 要 在 访问 者 和 目标 之 间 介 入 一 个 安全 机 制 , 验 证 访问 者 的 权限 ,控制 受 保 
护 的 目标 。 访问 者 提出 对 目标 的 访问 请 求 ,被 访问 控制 执行 单元 (Access Control 
Enforcement Function, AEF ,实际 是 应 用 内 实现 访问 控制 的 一 段 代 码 或 者 监听 程序 ) 截获 ， 
执行 单元 将 请 求 信 息 和 目标 信息 以 决策 请 求 的 方式 提交 给 访问 控制 决策 单元 (Access 
Control Decision Function,ADF ,是 一 个 判断 逻辑 ,如 访问 控制 代码 中 的 判断 函数 ) ,决策 单 
元 根据 相关 信息 返回 决策 结果 (结果 往往 是 允许 /拒绝 ) ,执行 单元 根据 决策 结果 决定 是 否 执 
行 访 问 。 其 中 执行 单元 和 决策 单元 不 必 是 分 开 的 模块 。 

同样 ,影响 决策 单元 进行 决策 的 因素 也 可 以 抽象 为 图 8-2 。 
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决策 请 求 中 包含 了 访问 者 信息 、 访 问 请 求 信息 、 目 标 信息 、 上 下 文 信息 。 访 问 者 信息 指 
用 户 的 身份 .权限 信息 等 ; 访问 请 求 信息 包括 访问 动作 等 信息 ; 目标 信息 包含 资源 的 等 级 、 
敏感 度 等 信息 ; 上 下 文 信息 主要 指 影 响 决 策 的 应 用 端 环境 ,如 会 话 的 有 效 期 等 。 决 策 单元 
中 包含 保留 信息 ,主要 是 一 些 决策 单元 内 部 的 控制 因素 。 

最 重要 的 决策 因素 是 访问 控制 策略 规则 。 因 为 相对 于 其 他 决策 因素 来 说 ,不 同 的 应 用 
系统 这 些 因 素 的 变化 相对 小 得 多 ,但 是 不 同 的 应 用 系统 访问 控制 策略 是 完全 不 同 的 。 因 此 ， 
访问 控制 策略 规则 是 访问 控制 框架 中 随 着 应 用 变化 的 部 分 ,访问 控制 框架 的 灵活 性 和 适应 
应 用 的 能 力 ,取决 于 访问 控制 策略 的 描述 能 力 和 控制 能 力 。 

访问 控制 和 其 他 安全 措施 的 关系 模型 如 图 8-3 所 示 。 


安全 管理 员 访问 控 
安全 管理 只 | 授权 | 制 决策 
单元 
| 决策 结果 
访问 者 信息 。 |_ 目 标 信息 用 户 引用 [ 目 
一 “| 访问 控制 决策 单元 Se ”| 监控 器 标 
访问 请 求 信息 (ADF) 上 下 文 信息 上 
~、 淆 份 鉴别 访问 控制 
[em ee er 
策略 规则 审计 
图 8-2 影响 决策 单元 进行 决策 的 因素 图 8-3 访问 控制 和 其 他 安全 措施 的 关系 模型 


8.1.3 访问 控制 的 基本 原则 


安全 策略 的 制定 实施 也 是 围绕 主体 .客体 和 安全 控制 规则 集 三 者 之 间 的 关系 展开 的 。 

(1) 最 小 特权 原则 : 最 小 特权 原则 是 指 主体 执行 操作 时 ,按照 主体 所 需 权 力 的 最 小 化 
原则 分 配给 主体 权力 。 最 小 特权 原则 的 优点 是 最 大 限度 地 限制 了 主体 实施 授权 的 行为 ,可 
以 避免 来 自 突 发 事件 .错误 和 未 授权 主体 的 危险 。 也 就 是 说 ,为 了 达到 一 定 目的 ,主体 必须 
执行 一 定 操作 ,但 他 只 能 做 他 所 被 允许 做 的 ,其 他 除外 。 

(2) 多 人 负责 原则 : 授权 分 散 化 ,关键 的 任务 由 多 人 来 承担 ,保证 没有 人 具有 完成 任务 
的 全 部 授权 或 信息 。 

(3) 职责 分 离 原 则 : 将 不 同 的 责任 分 派 给 不 同 的 人 员 以 期 达到 互相 牵制 , 削 除 一 个 人 
执行 两 项 不 相 容 的 工作 的 风险 。 

(4) 最 小 泄漏 原则 : 最 小 泄漏 原则 是 指 主体 执行 任务 时 ,按照 主体 所 需要 知道 的 信息 
最 小 化 的 原则 分 配给 主体 权力 。 

(5) 多 级 安全 策略 : 多 级 安全 策略 是 指 主体 和 客体 间 的 数据 流向 和 权限 控制 按照 安全 
级 别 的 绝密 (TS) .秘密 (S)、 机 密 (C)、 限 制 (RS) 和 无 级 别 (U) 五 级 来 划分 。 多 级 安全 策略 
的 优点 是 避免 敏感 信息 的 扩散 。 具 有 安全 级 别 的 信息 资源 ,只 有 安全 级 别 比 他 高 的 主体 才 
能 够 访问 。 


161 
第 8 章 访问 控 


8.1.4 访问 控制 的 种 类 


访问 控制 的 种 类 有 很 多 ,主要 包括 以 下 八 种 。 

1. 入 网 访问 控制 

入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 。 它 控制 哪些 用 户 能 够 登录 到 服务 器 
并 获取 网 络 资源 ,控制 准许 用 户 和 人 网 的 时 间 和 准许 他 们 在 哪 台 工作 站 和 人 网。 

一 般 ,用 户 的 人 网 访问 控制 可 分 为 三 个 步骤 : 用 户 名 的 识别 与 验证 ,用户 口令 的 识别 与 
验证 ,用 户 账号 的 默认 限制 检查 。 默 认 限 制 检 查 包括 网 络 应 能 控制 用 户 登录 入 网 的 站 点 、 限 
制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数量 等 。 三 道 关 卡 中 只 要 任何 一 关 未 过 ,该 用 户 
便 不 能 进入 该 网 络 。 

对 网 络 用户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 为 保证 口令 的 安 
全 性 ,用 户口 令 不 能 显示 在 显示 屏 上 ,口令 长 度 应 不 少 于 6 个 字符 ,口令 字符 最 好 是 数字 、 字 
母 和 其 他 字符 的 混合 ,用 户口 令 必 须 经 过 加 密 。 用 户 还 可 采用 一 次 性 用 户口 令 ,也 可 用 便携 
式 验 证 器 (如 智能 卡 ) 来 验证 用 户 的 身份 。 网 络 管理 员 可 以 控制 和 限制 普通 用 户 的 账号 使 
用 、 访 问 网 络 的 时 间 和 方式 。 用 户 账 号 应 只 有 系统 管理 员 才 能 建立 。 用 户口 令 应 是 每 个 用 
户 访问 网 络 所 必须 提交 的 * 证 件 ” 用 户 可 以 修改 自己 的 口令 ,但 系统 管理 员 应 该 可 以 控制 口 
令 的 以 下 几 个 方面 的 限制 : 最 小 口令 长 度 ,强制 修改 口令 的 时 间 间 隔 \ 口 令 的 唯一 性 ,口令 
过 期 失效 后 允许 人 网 的 宽 限 次 数 。 用 户 名 和 口令 验证 有 效 之 后 ,再 进一步 履行 用 户 账号 的 
默认 限制 检查 。 网 络 应 能 控制 用 户 登 录入 网 的 站 点 、 限 制 用 户 和 网 的 时 间 、 限 制 用 户 和 人 网 的 
工作 站 数量 。 当 用 户 对 交 费 网 络 的 访问 “资费 ”用 尽 时 ,网 络 还 应 能 对 用 户 的 账号 加 以 限制 ， 
用 户 此 时 应 无 法 进入 网 络 访问 网 络 资源 。 网 络 应 对 所 有 用 户 的 访问 进行 审计 。 如 果 多 次 输 
入 口令 不 正确 , 则 认为 是 非法 用 户 的 入侵 ,应 给 出 报警 信息 。 

2. 网 络 权限 控制 

网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 用 户 和 用 户 组 被 赋 
予 一 定 的 权限 。 网 络 控 制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 。 可 以 
指定 用 户 对 这 些 文件 目录 ,设备 能 够 执行 哪些 操作 。 受 托 者 指派 和 继承 权限 屏 项 (IRM) 可 
作为 两 种 实现 方式 。 受 托 者 指派 控制 用 户 和 用 户 组 如 何 使 用 网 络 服务 器 的 目录 、 文 件 和 设 
备 。 继 承 权限 屏蔽 相当 于 一 个 过 滤器 ,可 以 限制 子 目录 从 父 目 录 那 里 继承 哪些 权限 。 我 们 
可 以 根据 访问 权限 将 用 户 分 为 以 下 几 类 : 特殊 用 户 ( 即 系统 管理 员 ); 一 般 用 户 , 系 统管 理 
员 根 据 他 们 的 实际 需要 为 他 们 分 配 操作 权限 ; 审计 用 户 , 负 责 网 络 的 安全 控制 与 资源 使 用 
情况 的 审计 。 用 户 对 网 络 资源 的 访问 权限 可 以 用 访问 控制 表 来 描述 。 用 户 和 用 户 组 被 赋予 
一 定 的 权限 。 网 络 控 制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 目录 ,文件 和 其 他 资源 ,可 以 指 
定 用 户 对 这 些 文件 、 目 录 , 设 备 能 够 执行 哪些 操作 。 

3. 目录 级 安全 控制 


目录 级 安全 控制 允许 控制 用 户 对 目录 文件 .设备 的 访问 。 用 户 在 目录 一 级 指定 的 权限 
对 所 有 文件 和 子 目录 有 效 ,用 户 还 可 进一步 指定 对 目录 下 的 子 目录 和 文件 的 权限 。 对 目录 
和 文件 的 访问 权限 一 般 有 八 种 : 系统 管理 员 权 限 (Supervisor)、 读 权限 (Read)、 写 权限 
(Write) .创建 权限 (Create) 、 删 除权 限 (Erase)、 修 改 权 限 (Modify)、 文 件 查找 权限 (File 
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Scan) 、 存 取 控 制 权限 (Access Control)。 用 户 对 文件 或 目标 的 有 效 权限 取决 于 以 下 三 个 因 
素 : 用 户 的 受托 者 指派 .用户 所 在 组 的 受托 者 指派 .继承 权限 屏蔽 取消 的 用 户 权 限 。 一 个 网 
络 管理 员 应 当 为 用 户 指定 适当 的 访问 权限 ,这 些 访问 权限 控制 着 用 户 对 服务 器 的 访问 。 八 
种 访问 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 ,同时 又 能 有 效 地 控制 用 户 对 服务 器 资 
源 的 访问 ,从 而 加 强 了 网 络 和 服务 器 的 安全 性 。 

4. 属性 安全 控制 

当 用 文件 .目录 和 网 络 设备 时 ,网 络 系统 管理 员 应 给 文件 .目录 等 指定 访问 属性 。 属 性 
安全 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 ,属性 安全 控制 可 以 将 给 定 的 属性 与 网 络 
服务 器 的 文件 .目录 和 网 络 设备 联系 起 来 。 网 络 上 的 资源 都 应 预先 标 出 一 组 安全 属性 。 用 
户 对 网 络 资源 的 访问 权限 对 应 一 张 访问 控制 表 , 用 以 表明 用 户 对 网 络 资源 的 访问 能 力 。 属 
性 设置 可 以 覆盖 已 经 指定 的 任何 受托 者 指派 和 有 效 权 限 。 属 性 往往 能 控制 以 下 几 个 方面 的 
权限 : 向 某 个 文件 写 数据 ,复制 一 个 文件 删除 目录 或 文件 ,查看 目录 和 文件 .执行 文件 、 隐 
含 文件 .共享 .系统 属性 等 。 

5. 网 络 服务 器 安全 控制 

网 络 允 许 在 服务 器 控制 台 上 执行 一 系列 操作 。 用 户 使 用 控制 台 可 以 装载 和 钾 载 模块 ， 
可 以 安装 和 删除 软件 。 网 络 服务 器 的 安全 控制 包括 可 以 设置 口令 锁定 服务 器 控制 台 , 以 防 
止 非法 用 户 修改 、 删 除 重要 信息 或 破坏 数据 ; 可 以 设 定 服务 器 登录 时 间 限 制 , 非 法 访问 者 检 
测 和 关闭 的 时 间 间 隔 。 

6. 网 络 监测 和 锁定 控制 

网 络 管理 员 应 对 网 络 实施 监控 ,服务 器 应 记录 用 户 对 网 络 资源 的 访问 ,对 非法 的 网 络 访 
问 ,服务器 应 以 图 形 或 文字 或 声音 等 形式 报警 ,以 引起 网 络 管理 员 的 注意 。 如 果 不 法 之 徒 试 
图 进入 网 络 ,网 络 服务 器 应 自动 记录 企图 尝试 进入 网 络 的 次 数 ,如 果 非 法 访问 的 次 数 达 到 设 
定数 值 ,那么 该 账户 将 被 自动 锁定 。 

7. 网 络 端口 和 节点 的 安全 控制 


网 络 中 服务 器 的 端口 往往 使 用 自动 回 呼 设备 .静默 调制 解 调 器 加 以 保护 ,并 以 加 密 的 形 
式 来 识别 节点 的 身份 。 自 动 回 呼 设 备用 于 防止 假冒 合法 用 户 ,静默 调制 解 调 器 用 以 防范 黑 
客 的 自动 拨号 程序 对 计算 机 进行 攻击 。 网 络 还 常 对 服务 器 端 和 用 户 端 采取 控制 ,用 户 必 须 
携带 证 实 身份 的 验证 器 (如 智能 卡 、 磁 卡 、 安 全 密码 发 生 器 )。 在 对 用 户 的 身份 进行 验证 之 
后 , 才 允 许 用 户 进入 用 户 端 。 然 后 ,用 户 端 和 服务 器 端 再 进行 相互 验证 。 

8. 防火 墙 控制 


防火 墙 是 近期 发 展 起 来 的 一 种 保护 计算 机 网 络 安 全 的 技术 性 措施 , 它 是 一 个 用 以 阻止 
网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ,也 可 称 之 为 控制 进 /出 两 个 方向 通信 的 门槛 。 在 网 
络 边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 , 以 阻挡 外 部 网 络 
的 侵入 。 
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8.2 访问 控制 的 策略 


关于 访问 控制 的 策略 应 注意 如 下 两 点 。 

(1) 安全 策略 建立 的 需要 和 目的 。 安 全 的 领域 非常 广泛 繁杂 ,构建 一 个 可 以 抵御 风险 
的 安全 框架 涉及 很 多 细节 。 就 算是 最 简单 的 安全 需求 ,也 可 能 会 涉及 密码 学 .代码 重用 等 实 
际 问题 。 做 一 个 相当 完备 的 安全 分 析 不 得 不 需要 专业 人 员 给 出 许 许多 多 不 同 的 专业 细节 和 
计算 环境 ,这 通常 会 使 专业 的 框架 师 也 望 而 生 旦 。 如 果 我 们 能 够 提供 一 种 恰当 的 、 符 合 安全 
需求 的 整体 思路 ,就 会 使 这 个 问题 容易 得 多 ,也 会 使 前 进 方向 更 加 明确 。 能 够 提供 这 种 帮助 
的 就 是 安全 策略 。 一 个 恰当 的 安全 策略 总 会 把 自己 关注 的 核心 集中 到 最 高 决策 层 认为 必须 
值得 注意 的 那些 方面 。 概 括 地 说 ,一 种 安全 策略 实质 上 表明 : 当 设计 所 涉及 的 那个 系统 在 
进行 操作 时 ,必须 明确 在 安全 领域 的 范围 内 ,什么 操作 是 明确 允许 的 ,什么 操作 是 一 般 默认 
允许 的 ,什么 操作 是 明确 不 允许 的 ,什么 操作 是 默认 不 允许 的 。 我 们 不 要 求 安全 策略 做 出 具 
体 的 措施 规定 以 及 确切 说 明 通过 何 种 方式 能 够 达到 预期 的 结果 ,但 是 应 该 向 安全 构架 的 实 
际 搭 造 者 们 指出 ,在 当前 的 前 提 下 ,什么 因素 和 风险 才 是 最 重要 的 。 就 这 个 意义 而 言 , 建 立 
安全 策略 是 实现 安全 的 最 首要 的 工作 ,也 是 实现 安全 技术 管理 与 规范 的 第 一 步 。 

(2) 安全 策略 的 具体 含义 和 实现 。 安 全 策略 的 前 提 是 具有 一 般 性 和 普遍 性 ,如 何 能 使 
安全 策略 的 这 种 普遍 性 和 我 们 所 要 分 析 的 实际 问题 的 特殊 性 相 结 合 , 即 ,使 安全 策略 与 当前 
的 具体 应 用 紧密 结合 是 我 们 面临 的 最 主要 的 问题 。 控 制 策略 的 制定 是 一 个 按照 安全 需求 、 
依照 实例 不 断 精 确 细 化 的 求解 过 程 。 安 全 策略 的 制定 者 总 是 试图 在 安全 设计 的 每 个 设计 阶 
段 分 别 设计 和 考虑 不 同 的 安全 需求 与 应 用 细节 ,这 样 可 以 将 一 个 复杂 的 问题 简单 化 。 但 是 
设计 者 要 考虑 到 实际 应 用 前 的 前 脆性 ,有 时 候 我 们 并 不 知道 这 些 具体 的 需求 与 细节 是 什么 ; 
为 了 能 够 描述 和 了 解 这 些 细节 ,就 需要 我 们 在 安全 策略 的 指导 下 对 安全 涉及 的 领域 和 相关 
方面 做 细致 的 考察 和 研究 。 借 助 这 些 手段 能 够 迫使 我 们 在 下 面 的 讨论 中 ,增加 我 们 对 于 将 
安全 策略 应 用 到 实际 中 ,或 是 强加 于 实际 应 用 而 导致 的 问题 的 认 知 。 总 之 ,我 们 对 上 述 问 题 
认识 得 越 充分 ,能 够 实现 和 解释 的 过 程 就 更 加 精确 细 化 ,这 一 精确 细 化 的 过 程 有 助 于 帮助 我 
们 建立 和 完善 从 实际 应 用 中 提炼 抽象 凝练 的 .用 确切 语言 表述 的 安全 策略 。 反 过 来 ,这 个 重 
新 表述 的 安全 策略 就 能 够 使 我 们 更 易于 去 完成 安全 框架 中 所 设 定 的 细节 。 

ISO7498 标准 是 目前 国际 上 普遍 遵循 的 计算 机 信息 系统 互 连 标准 ,1989 年 12 月 国际 
标准 化 组 织 (ISO) 颁 布 了 该 标准 的 第 二 部 分 , 即 ISO 7498 一 2 ,并 首次 确定 了 开放 系统 互 连 
(OSI) 参考 模型 的 信息 安全 体系 结构 。 我 国 将 其 作为 GB/T 9387 一 2 标准 ,并 予以 执行 。 
按照 ISO 7498 一 2 中 OSI 安全 体系 结构 中 的 定义 ,访问 控制 的 安全 策略 有 以 下 三 种 实现 方 
式 : 基于 身份 的 安全 策略 .基于 规则 的 安全 策略 和 基于 角色 的 安全 策略 。 目 前 使 用 的 安全 
策略 ,其 建立 的 基础 都 是 授权 行为 。 就 其 形式 而 言 ,基于 身份 的 安全 策略 等 同 于 DAC 安全 
策略 ,基于 规则 的 安全 策略 等 同 于 MAC 安全 策略 。 

授权 指 给 予 某 个 用 户 为 了 某 种 目的 可 以 访问 某 个 目标 的 权力 。 访 问 控 制 策略 在 系统 安 
全 策略 级 上 表示 授权 ,也 就 是 说 ,它们 直接 通过 系统 部 件 实施 。 任 何 访问 控制 策略 最 终 均 可 
被 模型 化 为 访问 矩阵 形式 。 无 论 何 时 何 地 ,一 个 策略 都 能 表示 成 一 个 行 对 应 于 用 户 , 列 对 应 
于 目标 的 矩阵 。 每 个 矩阵 元 素 规定 了 相应 的 用 户 对 应 于 相应 的 目标 被 准予 的 访问 许可 。 和 拢 
阵 元 素 确定 了 用 户 可 以 对 目标 实施 的 行为 。 
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8.2.1 基于 身份 的 策略 


基于 身份 的 策略 包括 基于 个 体 的 策略 和 基于 组 的 策略 。 

1. 基于 个 体 的 策略 

一 个 基于 个 体 的 策略 根据 哪些 用 户 可 对 一 个 目标 实施 哪 一 种 行为 的 列表 来 表示 。 这 个 
等 价 于 用 一 个 目标 的 访问 和 矩阵 列 来 描述 。 

基于 身份 的 策略 陈述 总 是 依赖 于 一 个 暗含 的 或 清晰 的 默认 策略 ,而 基于 个 体 的 策略 是 
基于 身份 的 策略 的 一 种 类 型 ,所 以 基于 个 体 的 策略 陈述 也 总 是 依赖 于 一 个 暗含 的 或 清晰 的 
默认 策略 。 在 上 面 的 例子 中 ,假定 的 默认 是 所 有 用 户 被 所 有 的 许可 否决 。 这 就 是 最 常用 的 
默认 策略 。 这 类 策略 遵循 所 谓 的 最 小 特权 原则 ,最 小 特权 原则 要 求 最 大 限度 地 限制 每 个 用 
户 为 实施 授权 任务 所 需要 的 许可 集 。 这 种 原则 的 应 用 限制 了 来 自 偶 然 事 件 、 错 误 或 未 授权 
用 户 的 危险 。 

在 一 个 公开 的 公告 板 环境 中 ,默认 也 许 是 所 有 可 得 到 的 公开 信息 。 另 外 ,多 重 策略 可 同 
时 应 用 于 一 个 目标 。 有 效 的 默认 也 可 能 是 某 一 级 别 的 策略 ,该 策略 对 某 一 用 户 或 某 些 用 户 
提供 清晰 的 访问 许可 。 由 于 这 个 原因 ,对 确定 的 用 户 关 于 确定 的 目标 基于 身份 的 策略 通常 
也 提供 清晰 的 否认 许可 。 

否认 限制 对 处 理 窃 取 口 令 或 个 人 身份 认证 器 件 丢 失 或 被 窃取 这 样 的 情况 也 是 有 价值 
的 。 对 所 关心 的 所 有 目标 ,一 个 合适 的 否认 限制 被 简单 地 加 到 已 存在 的 策略 陈述 集 上 。 

2. 基于 组 的 策略 

一 个 基于 组 的 策略 是 基于 身份 的 策略 的 另 一 种 情形 ,一 些 用 户 被 允许 对 一 个 目标 具有 
同样 的 访问 许可 。 例 如 , 当 许 可 被 分 配给 一 个 队 的 所 有 成 员 或 一 个 组 织 的 一 个 部 门 的 所 有 
雇员 时 ,采取 的 就 是 这 种 策略 。 多 个 用 户 被 组 织 在 一 起 并 赋予 一 个 共同 的 识别 标识 符 。 这 
时 把 访问 矩阵 的 多 个 行 压缩 为 一 个 行 。 例 如 ,假定 用 户 cl 和 c2 形成 一 个 组 ,那么 对 目标 x 
的 访问 控制 策略 可 通过 下 列 一 对 陈述 来 表达 : 

用 户 组 c 由 用 户 cl 和 c2 组 成 ; 

对 目标 x, 用 户 a 被 允许 读 、 修 改 和 管理 ,而 用 户 组 c 被 允许 读 。 

注意 上 述 第 一 条 陈述 可 被 其 中 的 目标 重复 使 用 ,例如 目标 y。 再 者 ,组 的 成 员 可 以 被 改 
变 而 不 会 影响 许可 陈述 。 这 些 特征 往往 使 基于 组 的 策略 在 表示 和 实现 方面 比 基 于 个 体 的 策 
略 更 容易 和 更 有 效 。 


8.2.2 基于 规则 的 策略 


基于 规则 的 策略 包括 多 级 策略 和 基于 间隔 的 策略 。 

1. 多 级 策略 

多 级 策略 被 广泛 地 应 用 于 政府 机 密 部 门 , 但 在 非 机 密 部 门 中 也 有 应 用 。 这 些 策略 应 该 
自动 控制 执行 。 这 些 策略 主要 使 用 来 保护 数据 不 被 非法 泄露 ,但 它们 也 能 支持 完整 性 需求 。 

一 个 多 级 策略 通过 分 配给 每 个 目标 一 个 密级 来 操作 。 密 级 的 层次 如 表 8-1 所 示 。 每 个 
用 户 从 相同 的 层次 中 分 配 一 个 等 级 。 目 标的 分 派 反映 了 它 的 敏感 性 。 用 户 的 分 派 反 映 了 它 
的 可 信 程 度 。 
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表 8-1 密级 层次 
密 级 英文 对 照 
绝密 TOP SECRET 
秘密 SECRET 
机 密 CONEIDENTIAL 
限制 RESTRICTED 
无 密级 UNCLASSIFIED 


与 这 种 类 型 的 策略 有 关 的 传统 规则 在 美国 国防 部 可 信 计 算 机 安全 模型 评估 准则 中 有 具 
体 描 述 。 基 础 的 数学 模型 是 由 Bell 和 La Padula 得 到 的 。 这 种 模型 定义 了 在 用 户 和 目标 的 
安全 级 别 之 间 的 一 种 形式 关系 , 称 为 统治 关系 。 对 于 准予 只 读 访 问 和 只 写 访 问 都 有 明确 规定 。 

只 读 访 问 规则 又 称 做 简单 安全 条 件 , 它 的 规定 是 显而易见 的 。 它 规定 一 个 拥有 给 定 等 
级 的 用 户 只 能 读 具 有 相同 或 比 它 低 的 密级 的 数据 。 只 写 访问 规则 ,通常 称 为 * 特性 , 它 规 
定 一 个 拥有 给 定 等 级 的 用 户 只 能 向 具有 相同 或 比 它 高 的 密级 的 目标 写 数据 。 制 定 这 个 规则 
是 为 了 防止 未 授权 用 户 无 须 授 权 就 删除 有 密级 的 数据 和 防止 特洛伊 木马 攻击 。 另 外 , 当 数 
据 连接 多 个 目标 时 ,有 一 规则 规定 分 配 它 们 中 的 最 高 密级 。 对 于 完整 性 情况 的 一 个 相应 的 
策略 模型 由 Biba 提出 。 应 用 这 种 模型 ,目标 可 分 配 一 个 完整 性 密级 和 人 敏感 性 密级 。 

2. 基于 间隔 的 策略 

在 基于 间隔 的 策略 中 ,目标 集合 关联 于 安全 间隔 或 安全 类 别 ,通过 它们 来 分 离 其 他 目 
标 。 用 户 需要 给 一 个 间隔 分 配 一 个 不 同 的 等 级 ,以 便 能 够 访问 间隔 中 的 目标 。 例 如 ,在 一 个 
公司 中 ,不 同 的 间隔 可 能 定义 为 合同 和 职员 。 一 个 间隔 的 等 级 不 必 指 示 相 同 级 别 的 其 他 间 
隔 的 等 级 。 此 外 ,在 一 个 间隔 中 的 访问 可 能 受 控 于 特殊 的 规则 。 例 如 ,在 一 个 特定 的 时 间 间 
隔 内 ,两 个 消除 了 的 用 户 为 了 能 恢复 数据 可 能 需要 提出 一 个 联合 请 求 。 


8.2.3 基于 角色 的 策略 


基于 角色 的 策略 是 策略 的 另 一 种 类 型 ,这 种 策略 在 当代 的 商业 环境 中 特别 有 意义 。 基 
于 角色 的 策略 既 具 有 基于 身份 的 策略 的 特征 又 具有 基于 规则 的 策略 的 特征 。 它 可 以 看 作 基 
于 组 的 策略 的 一 种 变形 ,一 个 角色 对 应 一 个 组 。 

这 种 类 型 的 策略 陈述 是 强 有 力 的 ,这 是 由 于 : 首先 , 它 所 包含 的 表示 方法 对 非 技术 的 组 
织 策 略 制定 者 很 容易 理解 ; 其 次 , 它 很 容易 被 映射 到 一 个 访问 矩阵 或 基于 组 的 策略 陈述 上 ， 
从 而 实现 访问 控制 。 

也 可 以 把 基于 角色 的 策略 视 作 一 类 基于 规则 的 或 强制 式 访 问 控制 策略 ,这 可 能 通过 一 
个 安全 区 域 来 自动 地 实施 。 

在 基于 组 或 者 基于 角色 的 策略 中 ,一 般 地 ,个 人 用 户 可 能 是 不 止 一 个 组 或 角色 的 成 员 ， 
有 时 可 能 要 对 这 些 用 户 做 限制 。 


8.2.4 策略 的 组 合 以 及 附加 控制 


一 般 地 ,可 组 合 使 用 上 述 策略 ,并 可 通过 使 用 附加 的 控制 如 依赖 于 值 的 控制 多 用 户 控 
制 和 基于 上 下 文 的 控制 来 进一步 强化 这 些 策略 。 
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1. 依赖 于 值 的 控制 

一 般 而 言 ,我 们 总 假设 一 个 确定 的 目标 数据 项 无 论 数据 值 存储 在 哪儿 ,都 有 确定 的 访问 
控制 许可 。 然 而 ,有 时 候 目 标的 敏感 性 会 根据 当前 存储 的 数据 值 而 改变 。 例 如 超过 某 临 界 
值 的 合同 信息 (如 ,大 于 500 万 元 ) 也 许 要 比 相同 的 公司 数据 库 里 的 其 他 合同 ( 低 于 500 万 
元 ) 提 供 更 强 的 保护 。 这 就 构成 了 依赖 于 值 的 控制 。 

2. 多 用 户 控制 

设计 一 种 当 多 于 一 个 用 户 共同 提出 一 个 请 求 时 ,在 访问 目标 之 间 应 该 得 到 许可 的 访问 
控制 策略 是 可 能 的 ,例如 : 

(1) 需要 两 个 指定 的 个 体 同意 ; 

(2) 需要 两 个 具有 指定 角色 的 个 体 同意 ; 

(3) 需要 一 个 群体 中 许多 指定 的 成 员 的 同意 。 

3. 基于 上 下 文 的 控制 

基于 上 下 文 的 控制 允许 访问 控制 策略 在 确定 访问 一 个 目标 时 依靠 外 部 因素 ,诸如 : 

(1) 时 间 ; 

(2) 用 户 的 当前 位 置 ; 

(3) 发 起 者 和 目标 之 间 所 用 的 通信 和 路径; 

(4) 在 证 实 发 起 者 的 身份 时 所 用 到 的 认证 方法 的 强度 。 

这 种 控制 可 以 扩大 基于 身份 的 或 基于 规则 的 策略 。 它 们 的 目标 就 是 保护 访问 控制 机 
制 . 认 证 机 制 或 物理 安全 措施 等 防护 措施 的 弱点 。 例 如 ,访问 一 个 特定 的 目标 可 能 只 有 在 工 
作 时 间 并 在 公司 允许 的 终端 上 才 可 以 进行 。 这 样 做 可 以 消除 外 来 黑客 攻击 的 风险 。 这 种 方 
法 结合 了 上 面 所 说 的 基于 上 下 文 控制 的 类 型 (1) 和 (2)。 类 型 (3) 的 控制 可 以 阻止 那些 被 认 
为 是 网 络 特定 部 分 上 的 侵入 。 例 如 ,除了 发 起 者 ,可 以 防止 访问 在 线 电路 上 传输 的 某 种 类 型 
的 信息 ,由 于 窃听 的 风险 。 类 型 (4) 的 控制 依靠 所 使 用 的 认证 方法 考虑 对 发 起 者 的 真实 身份 
确定 的 不 同 级 别 。 例 如 ,访问 某 些 目标 只 验证 口令 可 能 就 足够 了 ,但 是 对 于 访问 敏感 目标 的 
发 起 者 必须 要 通过 基于 加 密 的 认证 机 制 的 验证 。 


8.2.5 目标 的 粒度 和 策略 的 交互 


设计 任何 一 种 访问 控制 策略 ,目标 的 粒度 都 是 主要 的 讨论 因素 。 例 如 ,考虑 一 个 公司 的 
所 有 职员 的 数据 库 。 在 一 个 层次 上 ,意味 着 把 整个 数据 库 当 做 一 个 目标 。 这 个 目标 只 能 被 
所 有 职员 访问 ; 它 不 能 被 从 公司 允许 的 终端 之 外 的 终端 访问 ; 所 有 的 修改 只 能 在 公司 的 管 
理 部 门 的 内 部 进行 。 然 而 ,为 了 某 些 目的 ,一 个 好 的 粒度 需要 被 同样 的 数据 库 认 可 。 公 司 策 
略 可 能 规定 任何 一 个 雇员 有 权 读 取 属 于 他 自己 的 数据 库 信息 ,但 不 准 访问 属于 其 他 雇员 的 
数据 。 通 信 系 统管 理 者 准许 读 取 和 修改 任何 雇员 的 通信 地 址 ,但 不 准 访问 其 他 区 域 , 而 读 取 
和 修改 职员 的 薪金 信息 的 权限 只 有 财务 科 的 人 员 才 有 。 

对 于 相同 的 信息 结构 ,不同 级 别 的 粒度 可 能 在 逻辑 上 有 截然 不 同 的 访问 控制 策略 和 采 
用 不 同 的 访问 控制 机 制 。 不 同 的 访问 控制 粒度 通常 与 策略 委托 有 关 。 例 如 ,一 个 公司 将 公 
司 数据 库 的 部 分 责任 委托 给 一 些 部 门 ,而 部 门 又 委托 部 分 职责 给 个 别 的 雇员 。 

当 多 种 策略 运用 于 一 个 目标 时 ,有 必要 建立 一 些 关 于 这 些 策略 之 间 如 何 协调 的 规则 。 
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典型 的 规则 有 : 规定 策略 的 优先 关系 。 也 就 是 规定 一 个 策略 的 许可 或 否认 许可 被 应 用 ,而 
不 管 与 其 他 策略 冲突 与 否 ; 辨别 任何 一 种 策略 下 所 应 用 的 否认 ,不 管 在 其 他 策略 中 相 冲 突 
的 许可 已 被 认可 。 


8.3 访问 控制 模型 


访问 控制 模型 是 一 种 从 访问 控制 的 角度 出 发 ,描述 安全 系统 ,建立 安全 模型 的 方法 。 访 
问 控制 安全 模型 一 般 包括 主体 、 客 体 ,以 及 为 识别 和 验证 这 些 实体 的 子 系 统 和 控制 实体 间 访 
问 的 参考 监视 器 。 由 于 网 络 传输 的 需要 ,访问 控制 的 研究 发 展 很 快 ,有 许多 访问 控制 模型 被 
提出 来 。 建 立 规范 的 访问 控制 模型 ,是 实现 严格 访问 控制 策略 的 基础 。20 世纪 70 年 代 ， 
Harrison、Ruzzo 和 Ullman 提出 了 HRU 模型 。 接 着 ,Jones 等 人 在 1976 年 提出 了 Take- 
Grant 模型 。 随 后 ,1985 年 美国 军 方 提出 可 信 计 算 机 系统 评估 准则 (TCSEC) ,其 中 描述 了 
两 种 著名 的 访问 控制 策略 : 自主 访问 控制 模型 (DAC) 和 强制 访问 控制 模型 (MAC)。 基 于 
角色 的 访问 控制 (RBAC) 由 Ferraiolo 和 Kuhn 在 1992 年 提出 。 考 虑 到 网 络 安 全 和 传输 流 ， 
又 提出 了 基于 对 象 和 基于 任务 的 访问 控制 。 


8.3.1 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control) 是 根据 访问 者 和 它 所 属 组 的 身份 来 控制 
对 客体 目标 的 授权 访问 。 一 个 对 客体 具有 自主 性 访问 权限 的 主体 能 够 把 该 客体 信息 共享 给 
其 他 的 主体 。UNIX 安全 模型 类 似 于 DAC 模型 ,文件 的 所 有 者 通过 设置 文件 许可 权 决 定 谁 
有 权 以 何 种 方式 对 其 进行 访问 。 

围绕 DAC 模型 中 的 权限 转交 、 所 有 权 变 更 、 权 限 级 联 吊 销 等 问题 ,DAC 模型 有 很 多 种 
形式 。 由 于 主体 访问 者 对 访问 的 控制 有 一 定 权 利 , 信 息 在 移动 过 程 中 其 访问 权限 关系 会 被 
改变 ,如 用 户 A 可 以 将 其 对 客体 目标 O 的 访问 权限 传递 给 用 户 B, 从 而 使 不 具备 对 O 访问 
权限 的 B 也 可 以 访问 O。 

自主 访问 控制 策略 可 以 用 访问 三 元 组 (S,O,A) 表示 ,其 中 : S 表示 主体 ,O 表示 客体 ， 
A 表示 访问 模式 。 

自主 访问 控制 是 一 种 允许 主体 对 访问 控制 施加 特定 限制 的 访问 控制 类 型 。 它 允许 主体 
针对 访问 资源 的 用 户 设置 访问 控制 权限 ,用 户 对 资源 的 每 次 访问 都 会 检查 用 户 对 资源 的 访 
问 权限 ,只 有 通过 验证 的 用 户 才 能 访问 资源 。 自 主 访问 控制 是 基于 用 户 的 ,因此 具有 很 高 的 
灵活 性 ,这 使 得 这 种 策略 适合 各 类 操作 系统 和 应 用 程序 ,特别 是 在 商业 和 工业 领域 。 例 如 ， 
在 很 多 应 用 环境 中 ,用户 需要 在 没有 系统 管理 员 介入 的 情况 下 ,拥有 设 定 其 他 用 户 访问 其 所 
控制 信息 资源 的 能 力 , 因 此 控制 就 具有 很 大 的 任意 性 。 在 这 种 环境 下 ,用 户 对 信息 的 访问 控 
制 是 动态 的 ,这 时 采用 自主 访问 控制 就 比较 合适 。 

自主 访问 控制 包括 身份 型 (Identity-based) 访 问 控制 和 用 户 指定 型 (User-directed) 访 问 
控制 ,自主 访问 控制 的 实现 方式 通常 包括 目录 式 访问 控制 .访问 控制 列表 、 访 问 控制 矩阵 和 
面向 过 程 的 访问 控制 等 方式 。 

1. 访问 控制 列表 

访问 控制 列表 是 存在 于 计算 机 中 的 一 张 表 (图 8-4) ,记录 用 户 对 特定 系统 对 象 例如 文 
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件 目录 或 单个 文件 的 存 取 权 限 。 每 个 对 象 拥 有 


个 在 访问 控制 表 中 定义 的 安全 属性 。 每 个 系统 用 “一 [wes | [eB |] [sc 
户 拥有 一 个 访问 权限 。 最 一 般 的 访问 权限 包括 读 。 
文件 (包括 所 有 目录 中 的 文件 )、 写 一 个 或 多 个 文 

件 和 执行 一 个 文件 (如 果 它 是 一 个 可 执行 文件 或 6 本 
者 是 程序 的 时 候 ) 。 


访问 控制 列表 是 目标 对 象 的 属性 表 , 它 设置 国人 4 本 网 必 则 罗 和 


每 个 用 户 对 给 定 目标 的 访问 权限 ,也 就 是 ,一 系列 实体 及 其 对 资源 的 访问 权限 的 列表 。 维 护 
访问 控制 列表 和 实施 访问 控制 本 质 上 是 系统 和 目标 环境 的 责任 。 访 问 控制 列表 反映 了 一 个 
目标 对 应 于 访问 控制 矩阵 列 中 的 内 容 。 因 此 ,基于 身份 的 访问 控制 策略 包括 基于 个 体 的 、 基 
于 组 的 和 基于 角色 的 策略 ,可 以 很 简单 地 应 用 访问 控制 列表 来 实现 。 基 本 的 访问 控制 列表 
概念 能 以 多 种 形式 加 以 推广 ,比如 为 选择 的 用 户 登 录 加 入 上 下 文 控制 。 表 8-2 举例 说 明了 
一 个 访问 控制 列表 结构 。 
表 8-2 访问 控制 列表 结构 
身 份 类 型 认可 的 允许 拒绝 的 允许 时 间 限 制 位 置 限制 


Mike 个 人 读 / 修 改 /管理 
组 员 组 读 修改 /管理 
审计 员 角色 读 / 修 改 管理 9:00 一 17:00 本 地 终端 


访问 控制 列表 机 制 最 适合 于 拥有 相对 较 少 的 需要 被 区 分 的 用 户 , 并 且 这 些 用 户 中 的 绝 
大 多 数 是 稳定 的 情况 。 如 果 访 问 控制 列表 太 大 或 经 常 改变 ,维护 访问 控制 列表 会 成 为 最 主 
要 的 问题 。 这 种 机 制 的 优点 有 二 : 一 是 对 于 大 范围 的 目标 粒度 访问 控制 列表 均 适 用 ,包括 
非常 好 的 粒度 ; 二 是 目标 的 拥有 者 或 管理 者 可 以 很 容易 地 废除 以 前 授予 的 许可 。 

访问 控制 表 (ACL) 是 DAC 中 通常 采用 的 一 种 安全 机 制 。ACL 是 带 有 访问 权限 的 矩 
阵 , 这 些 访问 权 是 授予 主体 访问 某 一 客体 的 。 安 全 管理 员 通 过 维护 ACL 控制 用 户 访问 企 
业 数 据 。 对 每 一 个 受 保护 的 资源 ,ACL 对 应 一 个 个 人 用 户 列 表 或 由 个 人 用 户 构成 的 组 列 
表 , 表 中 规定 了 相应 的 访问 模式 。 

DAC 的 主要 特征 体现 在 主体 可 以 自主 地 把 自己 所 拥有 客体 的 访问 权限 授予 其 他 主体 
或 者 从 其 他 主体 收回 所 授予 的 权限 ,访问 通常 基于 访问 控制 列表 (ACL)。 访问 控制 的 粒度 
是 单个 用 户 。 

但 是 当 用 户 数量 多 、 管 理 数据 量 大 时 ,由 于 访问 控制 的 粒度 是 单个 用 户 ,ACL 会 很 庞 
大 。 当 组 织 内 的 人 员 发 生变 化 (升迁 、 换 岗 、 招 聘 、 离 职 )、 工 作 职 能 发 生变 化 (新 增 业 务 ) 时 ， 
ACL 的 修改 变 得 异常 困难 。 采 用 ACL 机 制 管理 授权 处 于 一 个 较 低级 的 层次 ,管理 复杂 、 代 
价 高 以 致 易于 出 错 。 这 种 策略 也 存在 不 能 保证 信息 传输 的 安全 性 等 隐患 ,因为 入侵 者 有 很 
多 方法 绕 过 验证 来 获得 资源 。 例 如 ,一 个 用 户 能 读 取 某 些 数据 ,然后 他 就 可 以 把 这 些 数 据 转 
发 给 其 他 原本 没有 这 一 权限 的 人 。 这 是 因为 ,自主 访问 控制 策略 本 身 没 有 对 已 经 具有 权限 
的 用 户 如 何 使 用 和 传播 信息 强加 任何 限制 。 但 在 强制 策略 系统 中 ,高 安全 等 级 数据 传播 到 
低 安 全 等 级 是 受到 限制 的 。 在 自主 访问 控制 策略 环境 中 ,为 了 保证 安全 ,默认 参考 设置 是 拒 
绝 访问 ,以 提高 信息 的 安全 性 。 
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2. 访问 控制 矩阵 

通过 对 信息 系统 访问 控制 机 制 的 抽象 ,在 对 应 的 访问 矩阵 模型 中 定义 了 三 类 元 素 。 

(1) 系统 中 的 客体 集 0, 是 系统 中 被 访问 因而 也 是 被 保护 的 对 象 ,如 文件 .程序 .存储 区 
等 。 每 一 个 客体 oEO 可 由 它们 的 名 字 唯 一 地 标识 与 识别 。 

(2) 系统 中 的 主体 集 S, 是 系统 中 访问 操作 的 主动 发 起 者 ,如 用 户 、 进 程 . 执 行 域 等 。 每 
个 主体 *ES 也 是 可 以 由 它们 的 名 字 唯 一 标识 和 识别 的 。 

(3) 系统 中 主体 对 客体 的 访问 权限 集合 R,O、S 和 R 三 者 之 间 的 关系 是 以 矩阵 4 的 形 
式 表示 的 , 它 的 行 对 应 于 某 个 主体 , 列 对 应 于 某 个 客体 。 显然 ,集合 R 是 矩阵 的 项 (元 素 ) 的 
集合 ,每 个 项 用 A[s,o] 表 示 , 其 中 存放 着 主体 * 对 客体 。 的 访问 权 或 某 些 特权 。 

表 8-3 表示 了 主体 集合 S={ 张 三 , 李 四 , 进 程 1) ,客体 集合 O= {文件 1, 文 件 2, 进 程 1} 
的 一 个 访问 控制 矩阵 。 访 问 权限 集 合 尽 = {7r( 只 读 ),a( 只 写 ),w( 读 写 ),e( 执 行 ),app( 添 
加 ) ,ol 拥有)}。 本 实例 中 ,一 个 用 户 对 文件 的 读 、 写 权限 ,对 进程 的 执行 权限 比较 容易 理解 。 
李 四 对 进程 1 的 写 权 限 可 以 定义 为 , 李 四 给 进程 1 发 送 数据 ,实现 通信 。 同 样 , 张 三 对 进程 
1 的 读 权限 可 以 定义 为 , 张 三 接 收 进程 1 发 来 的 数据 ,实现 通信 。 而 进程 1 对 自身 没有 任何 
操作 权限 ,但 对 两 个 文件 拥有 读 权限 。 值 得 注意 的 是 , 随 着 系统 的 不 同 ,可 能 一 个 相同 名 字 
的 权限 会 有 不 同 的 含义 。 如 在 一 些 系统 中 张 三 对 进程 1 的 读 权限 有 可 能 会 表示 复制 这 个 
进程 。 

表 8-3 ”访问 控制 矩阵 实例 


主体 文件 1 文件 2 进程 1 
{w} {r} {esr} 
李 四 {aye} {w,0,app} {a} 
进程 1 {r} {r} ® 


表 8-4 给 出 访问 控制 矩阵 的 又 一 实例 。 主 体 集合 5 二 客体 集合 O={ 主 机 1, 主 机 2, 主 

机 3} ,访问 权限 集合 为 R= {ftp( 通 过 文件 传输 协议 FTP 访问 服务 器 ),nfs( 通 过 网 络 文件 

系统 协议 NFS 访问 服务 器 ) ,mail( 通 过 简单 邮件 传输 协议 (SMTP) 收 发 电子 邮件 ),own( 增 

加 服务 器 )}。 这 是 由 一 台 个 人 计算 机 (主机 1) 和 两 台 服 务 器 (主机 2、 主 机 3) 组 成 的 一 个 局 

域 网 。 主 机 1 只 允许 执行 ftp 客户 端 ,而 不 安装 任何 服务 器 ; 主机 2 安装 了 FTP、NFS 和 

MAIL 服务 器 ,允许 它 用 ftp、nfs、mail 访问 主机 3; 主机 3 安装 了 FTP、NFS 和 MAIL 服务 

器 , 仅 允许 它 用 ftp 和 mail 访问 主机 2。 可 见 该 例子 描述 了 系统 之 间 的 交互 控制 ,而 不 是 一 
台 计 算 机 内 部 的 访问 控制 。 

表 8-4 ”访问 控制 矩阵 实例 
客体 


主体 主机 1 主机 2 主机 3 
主机 1 {own} {ftp} {ftp} 
主机 2 下 {ftp,nfs, mail,own} {ftp, nfs, mail} 
主机 3 下 {ftp, mail} {ftp,nfs,mail,own} 
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自主 访问 控制 基于 对 主体 或 主体 所 属 的 主体 组 的 识别 来 限制 对 客体 的 访问 。 自 主 是 指 
主体 能 够 自主 地 (也 可 能 是 间接 地 ) 将 访问 权 或 访问 权 的 某 个 子 集 授予 其 他 主体 。 

为 实现 完备 的 自主 访问 控制 ,由 访问 控制 窍 阵 提供 的 信息 必须 以 某 种 形式 保存 在 系统 
中 。 访 问 控制 矩阵 中 的 每 行 表示 一 个 主体 ,每 列 则 表示 一 个 受 保 护 的 客体 。 和 矩阵 中 的 元 素 
表示 主体 可 对 客体 的 访问 模式 。 目 前 在 操作 系统 中 实现 的 自主 访问 控制 都 不 是 将 矩阵 整个 
保存 起 来 ,因为 那样 做 效率 很 低 。 实 际 的 方法 是 基于 和 矩阵 的 行 或 列 来 表达 访问 控制 信息 。 

基于 行 的 自主 访问 控制 方法 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 明细 
表 。 根 据 表 中 信息 的 不 同 又 可 分 为 三 种 形式 。 

(1) 权限 字 。 权 限 字 是 一 个 提供 给 主体 对 客体 具有 特定 权限 的 不 可 伪造 标志 。 主 体 可 
以 建立 新 的 客体 ,并 指定 这 些 客体 上 允许 的 操作 。 它 作为 一 张 凭证 ,允许 主体 对 某 一 客体 完 
成 特定 类 型 的 访问 。 仅 在 用 户 通 过 操作 系统 发 出 特定 请 求 时 才 建 立 权 限 字 , 每 个 权限 字 也 
标识 可 允许 的 访问 ,例如 ,用 户 可 以 创建 文件 ,数据 段子 进程 等 新 客体 ,并 指定 它 可 接受 的 
操作 种 类 ( 读 、 写 或 执行 ) ,也 可 以 定义 新 的 访问 类 型 (如 授权 、 传 递 等 ) 。 

具有 转移 或 传播 权限 的 主体 A 可 以 将 其 权限 字 的 副本 传递 给 B,B 也 可 将 权限 字 传递 
给 C, 但 为 了 防止 权限 字 的 进一步 扩散 ,B 在 传递 权限 字 副 本 给 C 时 可 移 去 其 中 的 转移 权 
限 , 于 是 C 将 不 能 继续 传递 权限 字 。 权 限 字 也 是 一 种 程序 运行 期 间 直接 跟踪 主体 对 客体 的 
访问 权限 的 方法 。 一 个 进程 具有 自己 运行 时 的 作用 域 , 即 访问 的 客体 集 , 如 程序 .文件 、 数 
据 、I/O 设备 等 , 当 运 行进 程 调 用 子 过 程 时 , 它 可 以 将 访问 的 某 些 客体 作为 参数 传递 给 子 过 
程 ,而 子 过 程 的 作用 域 不 一 定 与 调用 它 的 进程 相同 。 即 调用 进程 仅 将 其 客体 的 一 部 分 或 全 
部 访问 传递 给 子 过 程 , 子 过 程 也 拥有 自己 能 够 访问 的 其 他 客体 。 由 于 每 个 权限 字 都 标识 了 
作用 域 中 的 单个 客体 ,因此 ,权限 字 的 集合 就 定义 了 作用 域 。 进 程 调用 子 过 程 并 传递 特定 客 
体 或 权限 字 时 ,操作 系统 形成 一 个 当前 进程 的 所 有 权限 字 组 成 的 堆栈 ,并 为 子 过 程 建立 新 的 
权限 字 。 权 限 字 也 可 以 集成 在 系统 的 一 张 综合 表 中 (如 存 取 控 制 表 ) ,每 次 进程 请 求 都 由 操 
作 系 统 检 查 该 客体 是 否 可 访问 , 若 可 访问 , 则 为 其 建立 权限 字 。 

权限 字 必 须 存 放 在 内 存 中 不 能 被 普通 用 户 访问 的 地 方 , 如 系统 保留 区 、 专 用 区 或 者 被 保 
护 区 域内 ,在 程序 运行 期 间 , 只 有 被 当前 进程 访问 的 客体 的 权限 字 能 够 很 快 得 到 ,这 种 限制 
提高 了 对 访问 客体 权限 字 检 查 的 速度 。 由 于 权限 字 可 以 被 收回 ,操作 系统 必须 保证 能 够 跟 
踪 应 当 删 除 的 权限 字 ,彻底 予以 回收 ,并 删除 那些 不 再 活跃 的 用 户 的 权限 字 。 

作为 例子 ,在 现代 UNIX 中 ,包括 Linux, 使 用 的 不 再 是 一 个 简单 的 setuid 系统 ,而 是 构 
造 权限 字模 式 。 所 用 的 权限 字 类 似 于 setuid, 但 是 给 予 了 非常 仔细 的 细 化 。 一 个 可 执行 文 
本 可 以 被 标记 ,从 而 获得 一 指定 特权 ,而 不 是 或 者 全 是 .或 者 全 不 是 的 setuid 系统 。 

在 Linux 中 ,为 了 支持 这 一 模式 ,如 下 代码 被 作 了 修改 : 

If (suser()) { 


/ * Do some privileged operation. */ 
} 


被 修改 成 : 


If (capable(CAP DAC OVERRIDE)) { 
/* Do directory access override* / 
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目前 Linux 有 26 种 不 同 的 权限 类 别 。 当 采用 权限 字 表 时 ,只 需 动 态 地 对 进程 的 权限 字 
做 修改 ,不 需要 特权 状态 ,减少 了 滥用 权利 的 风险 。 必 须 注意 的 是 ,一 个 进程 必须 不 能 直接 
改动 它 的 权限 字 表 ,如 果 可 以 , 则 它 可 能 给 自己 增加 没有 权利 访问 的 资源 权限 。 

(2) 前 级 表 。 前 级 表 包含 受 保护 的 文件 名 (客体 名 ) 及 主体 对 它 的 访问 权限 。 当 系统 中 
有 某 个 主体 欲 访问 某 个 客体 时 ,访问 控制 机 制 将 检查 主体 的 前 级 是 否 具有 它 所 请 求 的 访问 
权 。 但 是 这 种 方式 有 以 下 三 个 问题 : 前 级 大 小 有 限制 ; 当 生 成 一 个 新 客体 或 者 改变 某 个 客 
体 的 访问 权时 ,如 何 对 主体 分 配 访问 权 ; 如 何 决定 可 访问 某 客体 的 所 有 主体 。 

由 于 客体 名 通常 是 杂乱 无 章 的 ,很 难 进行 分 类 ,而 且 当 一 个 主体 可 以 访问 很 多 客体 时 ， 
它 的 前 级 也 将 是 非常 大 的 ,因此 也 很 难 管理 。 还 有 受 保护 的 客体 必须 具有 唯一 的 名 字 , 互 相 
不 能 重 名 ,故而 造成 客体 名 数目 过 大 。 另 外 ,在 一 个 客体 生成 .撤销 或 改变 访问 权时 ,可 能 会 
涉及 许多 主体 前 缀 的 更 新 ,因此 需要 进行 许多 操作 。 当 用 户 生 成 新 客体 并 对 自己 及 其 他 用 
户 授予 对 此 客体 的 访问 权时 ,相应 的 前 绥 修 改 操作 必须 用 安全 的 方式 完成 ,不 应 由 用 户 直接 
修改 。 有 的 系统 由 系统 管理 员 来 承担 。 还 有 的 系统 由 安全 管理 员 来 控制 主体 前 级 的 更 改 。 
但 是 这 种 方法 也 很 不 方便 ,特别 是 在 频繁 更 迭 对 客体 访问 权 的 情况 下 ,更 加 不 适用 。 访 问 权 
的 撤销 一 般 也 很 困难 ,除非 对 每 种 访问 权 系统 都 能 自动 校 验 主体 的 前 组 。 删 除 一 个 客体 时 ， 
需要 判断 在 哪些 主体 前 级 中 有 该 客体 。 

(3) 口令 。 每 个 客体 都 相应 地 有 一 个 口令 。 主 体 在 对 客体 进行 访问 前 ,必须 向 操作 系 
统 提供 该 客体 的 口令 。 如 果 对 于 每 个 客体 ,每 个 主体 都 拥有 它 自己 独 具 的 口令 ,那么 这 个 口 
令 仿佛 就 是 对 这 个 客体 的 票证 ,类 似 于 权力 表 系 统 。 不 同 之 处 在 于 ,口令 不 像 权 力 那样 是 动 
态 的 。 大 多 数 利用 口令 机 制 实现 自主 访问 控制 的 系统 仅 允 许 对 每 个 客体 分 配 一 个 口令 或 者 
对 每 个 客体 的 每 种 访问 模式 分 配 一 个 口令 。 注 意 ,这 个 口令 与 用 户 识别 用 的 注册 口令 没有 
任何 关系 ,不 要 将 两 者 混淆 。 如 欲 使 一 个 用 户 具有 访问 某 个 客体 的 特权 , 那 只 需 告 之 该 客体 
的 口令 。 有 些 系统 中 ,只 有 系统 管理 员 才 有 权 分 配 口 令 , 而 有 些 系 统 则 允许 客体 的 拥有 者 任 
意 地 改变 客体 口令 。 一 般 来 讲 ,一 个 客体 至 少 要 有 两 个 口令 ,一 个 用 于 控制 读 , 一 个 用 于 控 
制 写 。 

在 确认 用 户 身份 时 ,口令 机 制 是 一 种 比较 有 效 的 方法 ,但 对 于 客体 访问 控制 ,口令 机 制 
是 比较 脆弱 的 。 基 于 列 的 访问 控制 是 指 按 客体 附加 一 份 可 访问 它 的 主体 的 明细 表 。 基 于 列 
的 访问 控制 可 以 有 两 种 方式 。 

(1) 保护 位 : 保护 位 方式 采用 访问 控制 矩阵 表达 方式 。UNIX 系统 采用 了 这 种 方法 。 
保护 位 对 所 有 的 主体 、 主 体 组 (用 户 、 用 户 组 ) 以 及 该 客体 (文件 ) 的 拥有 者 ,规定 了 一 个 访问 
模式 的 集合 。 用 户 组 是 具有 相似 特点 的 用 户 集合 。 生 成 客体 的 主体 称 为 该 客体 的 拥有 者 。 
它 对 客体 的 所 有 权 仅 能 通过 超级 用 户 特权 来 改变 。 拥 有 者 (超级 用 户 除外 ) 是 唯一 能 够 改变 
客体 保护 位 的 主体 。 一 个 用 户 可 能 不 只 属于 一 个 用 户 组 ,但 是 在 某 个 时 刻 ,一 个 用 户 只 能 属 
于 一 个 活动 的 用 户 组 。 用 户 组 及 拥有 者 都 体现 在 保护 位 中 。 

(2) 存 取 控制 表 : 访问 控制 表 CACL) 是 目前 采用 最 多 的 一 种 实现 方式 。 关 于 访问 控制 
表 (ACL) 请 参见 前 面 的 介绍 。 

3. 自主 访问 控制 的 访问 许可 

在 许多 系统 中 ,对 访问 许可 与 访问 模式 不 加 区 分 。 但 是 ,在 自主 访问 控制 机 制 中 ,应 当 
对 此 加 以 区 分 ,这 种 区 分 会 使 我 们 把 客体 的 控制 与 对 客体 的 访问 区 别 开 来 。 
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由 于 访问 许可 允许 主体 修改 客体 的 存 取 控制 表 , 因 此 ,利用 它 可 以 实现 对 自主 访问 控制 
机 制 的 控制 。 这 种 控制 有 三 种 类 型 。 

(1) 等 级 型 。 可 以 将 对 客体 存 取 控 制 表 的 修改 能 力 划 分 成 等 级 。 例 如 ,可 以 将 控制 关 
系 组 成 一 个 树 形 结构 。 系 统管 理 员 的 等 级 设 为 等 级 树 的 根 , 根 一 级 具有 修改 所 有 客体 存 取 
控制 表 的 能 力 , 并 且 具 有 向 任意 一 个 主体 分 配 这 种 修改 权 的 能 力 。 系 统管 理 员 可 以 按 部 门 
将 工作 人 员 分 成 多 个 子 集 ,并 对 部 门 领导 授予 相应 存 取 控制 表 的 修改 权 和 对 修改 权 的 分 配 
权 。 部 门 领导 又 可 将 自己 部 门 内 的 人 员 分 成 车 干 个 组 ,并 且 对 组 级 领导 授予 相应 的 对 存 取 
控制 表 的 修改 权 。 在 树 中 最 低级 的 主体 不 再 具有 访问 许可 ,也 就 是 说 他 们 对 相应 客体 的 存 
取 控 制 表 不 再 具有 修改 权 。 有 访问 许可 ( 即 有 能 力 修改 客体 的 存 取 控 制 表 ) 的 主体 ,可 以 对 
自己 授予 任何 访问 模式 的 访问 权 。 

这 种 结构 的 优点 是 ,通过 选择 可 信任 的 人 担任 各 级 领导 ,使 得 能 够 以 可 信 方 式 对 客体 施 
加 控制 ,并 且 这 种 控制 和 人 员 的 组 织 体系 相近 似 。 缺 点 是 ,对 于 一 个 客体 而 言 , 可 能 会 同时 
有 多 个 主体 有 能 力 修 改 它 的 存 取 控制 表 。 

(2) 拥有 型 。 另 一 种 控制 方式 是 对 每 个 客体 设立 一 个 拥有 者 (通常 是 该 客体 的 生成 
者 )。 只 有 拥有 者 才 是 对 客体 有 修改 权 的 唯一 主体 。 拥 有 者 对 其 拥有 的 客体 具有 全 部 控制 
权 。 但 是 ,拥有 者 无 权 将 其 对 客体 的 控制 权 分 配给 其 他 主体 。 因 此 ,客体 拥有 者 在 任何 时 候 
都 可 以 改变 其 所 属 客体 的 存 取 控 制 表 , 并 可 以 对 其 他 主体 授予 或 者 撤销 其 对 客体 的 任何 一 
种 访问 模式 。 

系统 管理 员 应 能 够 对 系统 进行 某 种 设置 ,使 得 每 个 主体 都 有 一 个 “ 主 目录 ”(home 
directory) 。 对 主 目录 下 的 子 目录 及 文件 的 访问 许可 权 应 授予 该 主 目录 的 主人 ,使 他 能 够 修 
改 主 目录 下 的 客体 的 存 取 控制 表 , 但 不 允许 使 拥有 者 具有 分 配 这 种 访问 许可 权 的 权力 。 

可 以 把 拥有 型 控制 看 成 二 级 的 树 形 控制 。 在 UNIX 系统 中 ,利用 超级 用 户 来 实施 特权 
控制 ,就 是 这 样 的 一 个 例子 。 

(3) 自由 型 。 自 由 型 方案 的 特点 是 : 一 个 客体 的 生成 者 可 以 对 任何 一 个 主体 分 配对 它 
拥有 的 客体 的 访问 控制 权 , 即 对 客体 的 存 取 控制 表 有 修改 权 .并 且 还 可 使 其 他 主体 也 具有 分 
配 这 种 权力 的 能 力 。 在 这 种 系统 中 ,不 存在 “拥有 者 ”概念 。 例 如 ,一 旦 一 个 主体 A 将 修改 
其 客体 存 取 控 制 表 的 权力 与 分 配 这 种 权力 的 能 力 授予 了 主体 B, 那 么 主体 B 就 可 以 将 这 种 
能 力 分 配给 其 他 主体 ,而 不 必 征 求 客 体 生成 者 的 同意 。 这 样 , 一 旦 访问 许可 权 分 配 出 去 , 那 
么 就 很 难 控制 客体 了 。 虽 然 可 以 从 客体 的 存 取 控 制 表 中 查 出 所 有 能 修改 者 的 名 字 , 但 是 却 
没有 任何 主体 能 对 该 客体 的 安全 负责 。 

4. 访问 模式 

在 实现 自主 访问 控制 的 各 种 各 样 系统 中 ,访问 模式 的 应 用 是 很 广泛 的 。 这 里 只 介绍 最 
常用 的 模式 。 

1 文件 

对 文件 设置 的 访问 模式 有 以 下 几 种 。 

(1) 读 复制 (read-copy) : 该 模式 允许 主体 对 客体 进行 读 与 复制 的 访问 操作 。 在 大 多 数 
系统 中 ,把 read 模式 作为 read-copy 模式 来 设置 。 从 概念 上 讲 ,作为 仅 允 许 显示 客体 的 read 
模式 是 有 价值 的 。 然 而 ,作为 一 种 基本 的 访问 模式 类 型 ,要 实现 仅 允 许 显示 客体 的 read 访 
问 模 式 是 困难 的 ,因为 它 只 能 允许 显示 介质 上 的 文件 ,而 不 允许 具有 存储 能 力 。 而 read- 
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copy 可 以 仅仅 限制 主体 对 客体 进行 读 和 复制 操作 ,如 果 主 体 复制 了 一 个 客体 ,那么 他 可 以 
对 该 复制 设置 任何 模式 的 访问 权 。 

(2) 写 删除 (write-delete) : 该 访问 模式 允许 主体 用 任何 方法 ,包括 扩展 (expanding)、 
收缩 (shrinking) 以 及 删除 (deleting) 来 修改 一 个 客体 。 在 不 同 的 系统 中 有 不 同 的 写 模式 , 实 
现 主体 对 客体 的 修改 。 例 如 写 附 加 (write-append)、 删 除 (delete)、 写 修改 (write-modify) 
等 。 系 统 可 以 根据 客体 的 特性 ,采用 不 同 的 模式 。 可 以 将 几 种 模式 映射 为 一 种 模式 ,也 可 以 
映射 为 自主 访问 控制 支持 的 最 小 的 模式 集合 。 也 可 以 将 所 有 的 可 能 的 写 模式 都 作 描 述 ,而 
只 将 一 个 模式 子 集 应 用 到 一 种 特殊 类 型 的 客体 。 前 一 种 方式 可 以 简化 自主 访问 控制 与 用 户 
接口 ,而 后 者 可 以 给 出 一 种 较为 细致 的 访问 控制 方式 。 

(3) 执行 (execute) : 该 模式 允许 主体 将 客体 作为 一 种 可 执行 文件 而 运行 。 在 许多 系统 
中 ,Execute 模式 需要 Read 模式 。 例 如 在 有 的 系统 中 ,要 求 在 实现 动态 链接 过 程 中 引进 连 
接 段 (linkage section) ,而 在 连接 段 中 常 涉及 常数 及 寻找 入 口 点 的 操作 ,这 些 操作 被 认为 是 
对 客体 文件 的 read 操作 。 因 此 ,此 时 需要 执行 某 个 段 时 ,还 需要 有 read 访问 模式 。 

(4) 无 效 (null) : 这 种 模式 表示 ,主体 对 客体 不 具有 任何 访问 权 。 在 存 取 控制 表 中 用 这 
种 模式 可 以 排斥 某 个 特定 的 主体 。 假 如 一 个 客体 是 文件 的 话 , 对 它 的 访问 模式 的 最 小 集 是 
应 用 于 许多 系统 中 常用 的 访问 模式 的 集合 ,这 包括 read-copy、write-delete、execute、null。 
这 些 模 式 为 文件 的 访问 提供 了 一 个 最 小 但 不 是 充分 的 组 合 。 不 少 情况 下 ,只 用 最 小 的 模式 
集合 是 不 够 的 。 大 部 分 操作 系统 是 将 自主 访问 控制 应 用 于 客体 ,而 不 单单 只 用 于 文件 。 文 
件 是 一 种 特殊 的 客体 。 许 多 时 候 , 除 文件 以 外 的 客体 ,也 被 构造 成 文件 。 因 此 ,通常 根据 客 
体 的 特殊 结构 ,对 它们 都 有 某 种 扩充 的 访问 模式 。 一 般 都 用 类 似 数据 抽象 的 方式 来 实现 它 
们 ,也 就 是 操作 系统 将 “扩充 的 ?访问 模式 映射 为 基本 访问 模式 。 

2) 目录 

如 果 文 件 系 统 中 的 文件 目录 是 树 形 结构 ,那么 树 中 的 目录 也 代表 一 类 文件 。 因 此 ,对 它 
也 可 以 设置 访问 模式 。 通 常用 以 下 三 级 方式 来 控制 对 目录 及 和 目录 相应 的 文件 的 访问 操 
作 : 对 目录 而 不 对 文件 实施 访问 控制 ; 对 文件 而 不 对 目录 实施 访问 控制 ; 对 目录 及 文件 都 
实施 访问 控制 。 如 果 仅 对 目录 设置 控制 ,那么 一 旦 授予 某 个 主体 对 一 个 目录 的 访问 权 , 它 就 
可 以 访问 该 目录 下 的 所 有 文件 。 当 然 ,如 果 在 该 目录 下 的 客体 是 另 一 个 目录 ,那么 ,如 果 主 
体 还 想 访 问 该 子 目录 , 它 就 必须 获得 该 子 目 录 的 访问 权 。 另 外 , 仅 对 目录 设置 访问 控制 模式 
的 方法 ,需要 按 访问 类 型 对 文件 进行 分 组 ,这 样 的 要 求 会 造成 限制 过 多 。 在 文件 分 类 时 还 会 
带 来 新 的 问题 。 

如 果 仅 对 文件 设置 访问 模式 ,这 种 控制 可 能 会 更 细致 些 。 仅 对 某 个 文件 设置 的 模式 与 
同一 目录 下 的 其 他 文件 没有 任何 关系 。 但 是 ,这 样 也 有 一 些 问题 。 比 如 ,如 果 不 对 目录 设置 
限制 ,那么 主体 可 以 设法 浏览 存储 结构 而 看 到 其 他 文件 的 名 字 。 而 且 在 这 种 情况 下 ,文件 的 
放置 没有 受 任 何 控制 ,结果 是 ,文件 目录 的 树 结构 失去 了 意义 。 通 常 最 好 是 对 文件 .目录 都 
施 以 访问 控制 。 但 是 ,设计 者 要 能 够 决定 是 否 允 许 主体 在 访问 文件 时 ,对 整个 路 径 都 可 以 访 
问 。 要 考虑 只 允许 访问 文件 本 身 是 否 充分 。 如 果 一 个 系统 ,人 允许 主体 访问 客体 ,但 又 不 允许 
有 对 该 客体 的 父 目 录 的 访问 权 , 那 么 实现 起 来 会 比较 复杂 。 

在 UNIX 系统 中 ,对 某 目录 不 具备 任何 访问 权 意 味 着 对 该 目录 控制 下 的 所 有 子 客体 
(文件 以 及 子 目 录 ) 都 无 权 访问 。 
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对 目录 的 访问 模式 的 最 小 集合 是 包括 read 与 write-expand( 写 -扩展 )。 

(1) read: 该 模式 允许 主体 看 到 目录 的 实体 ,包括 目录 名 、 存 取 控 制 表 ,以 及 该 目录 下 的 
文件 、 子 目录 等 相应 的 信息 。read 访问 模式 ,意味 着 有 权 访 问 该 目录 下 的 子 客体 ( 子 目 录 与 
文件 )。 至 于 哪个 主体 能 对 它们 进行 访问 还 要 视 该 主体 自己 的 存 取 控制 权限 。 

(2) write-expand( 写 -扩展 ): 此 种 模式 允许 主体 在 该 目录 下 增加 一 个 新 的 客体 , 即 , 允 
许 用 户 在 该 目录 下 生成 与 删除 文件 或 者 生成 与 删除 子 目录 。 由 于 目录 访问 模式 是 对 文件 访 
问 控制 的 扩展 ,因此 , 它 取决 于 目录 的 结构 ,取决 于 系统 。 例 如 ,有 的 系统 为 目录 设置 了 三 种 
访问 模式 : 读 状态 (Cstatus) ,修改 (modify) ,附加 Cappend) 。status 允许 主体 看 到 目录 结构 
及 其 子 客体 的 属性 。modify 允许 主体 修改 (包括 删除 ) 这 些 属性 ,而 append 允许 主体 生成 
新 的 子 客体 。 

可 以 看 出 ,操作 系统 在 决定 系统 的 自主 访问 控制 中 应 该 包括 什么 样 的 客体 ,以 及 应 该 为 
每 种 客体 设置 什么 样 的 访问 模式 时 ,要 在 用 户 的 友善 性 与 自主 访问 控制 机 制 的 复杂 性 之 间 
作 适 当 的 折 中 。 


8.3.2 强制 访问 控制 


前 面 介绍 的 自主 访问 控制 技术 有 一 个 最 主要 的 缺点 ,就 是 不 能 有 效 地 抵抗 计算 机 病毒 
的 攻击 。 在 自主 访问 控制 技术 中 , 某 一 合法 用 户 可 任意 运行 一 段 程序 来 修改 该 用 户 拥有 的 
文件 访问 控制 信息 ,而 操作 系统 无 法 区 别 这 种 修改 是 用 户 自 己 的 合法 操作 还 是 计算 机 病毒 
的 非法 操作 ; 另外 ,也 没有 什么 一 般 的 方法 能 够 防止 计算 机 病毒 将 信息 通过 共享 客体 ( 文 
件 . 主 存 等 ) 从 一 个 进程 传送 给 另 一 个 进程 。 为 此 ,人 们 认识 到 必须 采取 更 强 有 力 的 访问 控 
制 手段 ,这 就 是 强制 访问 控制 。 

最 开始 为 了 实现 比 DAC 更 为 严格 的 访问 控制 策略 ,美国 政府 和 军 方 开发 了 各 种 各 样 
的 控制 模型 ,这些 方案 或 模型 都 有 比较 完善 的 和 详尽 的 定义 。 随 后 ,逐渐 形成 强制 访问 控制 
(Mandatory Access Control,MAC) 模 型 .并 得 到 广泛 的 商业 关注 和 应 用 。 

在 强制 访问 控制 中 ,系统 对 主体 与 客体 都 分 配 一 个 特殊 的 一 般 不 能 更 改 的 安全 属性 , 系 
统 通过 比较 主体 与 客体 的 安全 属性 来 决定 一 个 主体 是 否 能 够 访问 某 个 客体 。 用 户 为 某 个 目 
的 而 运行 的 程序 ,不 能 改变 它 自 己 及 任何 其 他 客体 的 安全 属性 ,包括 该 用 户 自 己 拥有 的 客 
体 。 强 制 访问 控制 还 可 以 阻止 某 个 进程 生成 共享 文件 并 通过 这 个 共享 文件 向 其 他 进程 传递 
信息 。 

强制 访问 控制 是 “强加 ”给 访问 主体 的 , 即 系统 强制 主体 服从 访问 控制 政策 。 强 制 访问 
控制 (MAC) 的 主要 特征 是 对 所 有 主体 及 其 所 控制 的 客体 (例如 进程 文件 、 段 、 设 备 ) 实 施 强 
制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 ， 
它们 是 实施 强制 访问 控制 的 依据 。 系 统 通过 比较 主体 和 客体 的 敏感 标记 来 决定 一 个 主体 是 
否 能 够 访问 某 个 客体 。 用 户 的 程序 不 能 改变 他 自己 及 任何 其 他 客体 的 敏感 标记 ,从 而 系统 
可 以 防止 病毒 (如 特洛伊 木马 ) 的 攻击 。 

强制 访问 控制 一 般 与 自主 访问 控制 结合 使 用 ,并 且 实 施 一 些 附加 的 、 更 强 的 访问 限制 。 
一 个 主体 只 有 通过 了 自主 与 强制 性 访问 限制 检查 后 ,才能 访问 某 个 客体 。 用 户 可 以 利用 自 
主 访问 控制 来 防范 其 他 用 户 对 自己 客体 的 攻击 ,由 于 用 户 不 能 直接 改变 强制 访问 控制 属性 ， 
所 以 强制 访问 控制 提供 了 一 个 不 可 逾越 的 、 更 强 的 安全 保护 层 以 防止 其 他 用 户 偶然 或 故意 
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地 滥用 自主 访问 控制 。 

由 于 MAC 通过 分 级 的 安全 标签 实现 了 信息 的 单 向 流通 ,因此 它 一 直 被 军 方 采用 ,其 中 
最 著名 的 是 Bell-LaPadula 模型 和 Biba 模型 : Bell-LaPadula 模型 具有 只 人 允许 向 下 读 、 向 上 
写 的 特点 ,可 以 有 效 地 防止 机 密 信 息 向 下 级 泄露 ; Biba 模型 则 具有 不 允许 向 下 读 、 向 上 写 的 
特点 ,可 以 有 效 地 保护 数据 的 完整 性 。 

下 面 简单 介绍 几 种 主要 模型 : Lattice 模型 .Bell-LaPadula 模型 (BLP Model) 和 Biba 模 
型 (Biba Model) 。 

1. Lattice 模型 

在 Lattice 模型 中 ,每 个 资源 和 用 户 都 服从 于 一 个 安全 类 别 。 这 些 安全 类 别 我 们 称 为 安 
全 级 别 ,也 就 是 我 们 在 本 章 开 始 所 描述 的 五 个 安全 级 别 ,TS,S,C,R,U。 在 整个 安全 模型 
中 ,信息 资源 对 应 一 个 安全 类 别 , 用 户 所 对 应 的 安全 级 别 必 须 比 可 以 使 用 的 客体 资源 高 才能 
进行 访问 。Lattice 模型 是 实现 安全 分 级 的 系统 ,这 种 方案 非常 适用 于 需要 对 信息 资源 进行 
明显 分 类 的 系统 。 

2. Bell-LaPadula 模型 

BLP 模型 是 典型 的 信息 保密 性 多 级 安全 模型 ,主要 应 用 于 军事 系统 。 这 种 模型 通常 是 
处 理 多 级 安全 信息 系统 的 设计 基础 ,客体 在 处 理 绝密 级 数据 和 秘密 级 数据 时 ,要 防止 处 理 绝 
密级 数据 的 程序 把 信息 泄露 给 处 理 秘密 级 数据 的 程序 。BLP 模型 的 出 发 点 是 维护 系统 的 
保密 性 ,有 效 地 防止 信息 泄露 ,这 与 我 们 后 面 讲 的 维护 信息 系统 数据 完整 性 的 Biba 模型 正 
好 相反 。 

Lattice 模型 没有 考虑 特洛伊 木马 等 不 安全 因素 的 潜在 威胁 ,这 样 ,低级 安全 用 户 有 可 
能 复制 比较 敏感 的 信息 。 在 军 方术 语 中 ,特洛伊 木马 的 最 大 作用 是 降低 整个 系统 的 安全 级 
别 。 考 虑 到 这 种 攻击 行为 ,Bell 和 LaPadula 设计 了 一 种 模型 抵抗 这 种 攻击 ,我 们 称 为 Bell- 
LaPadula 模型 。Bell-LaPadula 模型 可 以 有 效 防 止 低级 用 户 和 进程 访问 安全 级 别 比 他 们 高 
的 信息 资源 。 此 外 ,安全 级 别 高 的 用 户 和 进程 也 不 能 向 比 他 安全 级 别 低 的 用 户 和 进程 写 入 
数据 。 上 述 Bell-LaPadula 模型 建立 的 访问 控制 原则 可 以 用 以 下 两 点 简单 表示 : 无 上 读 , 无 
下 写 。 

BLP 模型 的 安全 策略 包括 强制 访问 控制 和 自主 访问 控制 两 部 分 : 强制 访问 控制 中 的 安 
全 特性 要 求 对 给 定安 全 级 别 的 主体 . 仅 被 允许 对 同一 安全 级 别 和 较 低 安全 级 别 上 的 客体 进 
行 “ 读 ”; 对 给 定安 全 级 别 上 的 主体 , 仅 被 允许 向 相同 安全 级 别 或 较 高 安全 级 别 上 的 客体 进 
行 “ 写 ”; 任意 访问 控制 允许 用 户 自 行 定义 是 否 让 个 人 或 组 织 存 取 数 据 。Bell-LaPadula 模型 
用 偏 序 关 系 可 以 表示 为 : (1)rd, 当 且 仅 当 SC(s) 宇 SC(o) ,主体 安全 级 别 高 于 客体 信息 资源 
的 安全 级 别 时 允许 读 操作 ; (2)wu, 当 且 仅 当 SC(s) 志 SC(o) ,主体 安全 级 别 低 于 客体 信息 
资源 的 安全 级 别 时 允许 写 操作 。BLP 模型 “只 能 从 下 读 、 向 上 写 ” 的 规则 忽略 了 完整 性 的 重 
要 安全 指标 ,使 非法 、 越 权 算 改 成 为 可 能 。 

BLP 模型 为 通用 的 计算 机 系统 定义 了 安全 性 属性 , 即 以 一 组 规则 表示 什么 是 一 个 安全 
的 系统 ,尽管 这 种 基于 规则 的 模型 比较 容易 实现 ,但 是 它 不 能 更 一 般 地 以 语义 的 形式 阐明 安 
全 性 的 含义 ,因此 ,这 种 模型 不 能 解释 主 -客体 框架 以 外 的 安全 性 问题 。 例 如 ,在 一 种 远程 读 
的 情况 下 ,一 个 高 安全 级 主体 向 一 个 低 安全 级 客体 发 出 远程 读 请 求 , 这 种 分 布 式 读 请 求 可 以 
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被 看 作 从 高 安全 级 向 低 安 全 级 的 一 个 消息 传递 ,也 就 是 “向 下 写 ”。 另 一 个 例子 是 如 何 处 理 
可 信和 主体 的 问题 ,可 信和 主体 可 以 是 管理 员 或 是 提供 关键 服务 的 进程 , 像 设 备 驱动 程序 和 存储 
管理 功能 模块 ,这 些 可 信和 主体 车 不 违背 BLP 模型 的 规则 就 不 能 正常 执行 它们 的 任务 ,而 
BLP 模型 对 这 些 可 信 主 体 可 能 引起 的 泄露 危机 没有 任何 处 理 和 避免 的 方法 。 

3. Biba 模型 

Biba 模型 是 在 研究 BLP 模型 的 特性 时 被 发 现 的 ,BLP 模型 只 解决 了 信息 的 保密 问题 ， 
其 在 完整 性 定义 存在 方面 有 一 定 缺陷 。BLP 模型 没有 采取 有 效 的 措施 来 制约 对 信息 的 非 
授权 修改 ,因此 使 非法 、 越 权 算 改 成 为 可 能 。 考 虑 到 上 述 因 素 ,Biba 模型 模仿 BLP 模型 的 信 
息 保密 性 级 别 ,定义 了 信息 完整 性 级 别 , 在 信息 流向 的 定义 方面 不 允许 从 级 别 低 的 进程 到 级 
别 高 的 进程 ,也 就 是 说 用 户 只 能 向 比 自己 安全 级 别 低 的 客体 写 入 信息 ,从 而 防止 非法 用 户 创 
建安 全 级 别 高 的 客体 信息 ,避免 越权 、 算 改 等 行为 的 产生 。Biba 模型 可 同时 针对 有 层次 的 
安全 级 别 和 无 层次 的 安全 种 类 。 

Biba 模型 的 两 个 主要 特征 是 : 

(1) 禁止 向 上 读 ,这 样 使 得 完整 性 级 别 高 的 文件 一 定 是 由 完整 性 高 的 进程 所 产生 的 ,从 
而 保证 了 完整 性 低 的 进程 不 能 覆盖 完整 性 级 别 高 的 文件 ; 

(2) Biba 模型 没有 下 “ 读 ”。 

Biba 模型 用 偏 序 关 系 可 以 表示 为 : 

(1) ru, 当 且 仅 当 SC(s) 志 SC(0) ,允许 读 操作 ; 

(2) wd, 当 且 仅 当 SCCs) 三 SC(o) ,允许 写 操作 。 

Biba 模型 是 和 BLP 模型 相对 立 的 模型 ,Biba 模型 改正 了 被 BLP 模型 所 忽略 的 信息 完 
整 性 问题 ,但 在 一 定 程度 上 忽视 了 保密 性 。 

MAC 访问 控制 模型 和 DAC 访问 控制 模型 属于 传统 的 访问 控制 模型 ,对 这 两 种 模型 的 
研究 也 比较 充分 。 在 实现 上 ,MAC 和 DAC 通常 为 每 个 用 户 赋予 对 客体 的 访问 权限 规则 
集 , 考 虑 到 管理 的 方便 ,在 这 一 过 程 中 还 经 常 将 具有 相同 职能 的 用 户 聚 为 组 ,然后 再 为 每 个 
组 分 配 许可 权 。 用 户 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 用 户 的 这 种 做 法 ,其 
优点 是 显而易见 的 ,但 是 如 果 企 业 的 组 织 结构 或 是 系统 的 安全 需求 处 于 变化 的 过 程 中 时 ,就 
需要 进行 大 量 烦 琐 的 授权 变动 ,系统 管理 员 的 工作 将 变 得 非常 繁重 ,更 主要 的 是 容易 发 生 错 
误 ,造成 一 些 意 想 不 到 的 安全 漏洞 。 考 虑 到 上 述 因 素 ,必须 引入 新 的 机 制 加 以 解决 。 

首先 要 介绍 一 下 角色 的 概念 。 角 色 (Role) 是 指 一 个 可 以 完成 一 定 事务 的 命名 组 ,不 同 
的 角色 通过 不 同 的 事务 来 执行 各 自 的 功能 。 事 务 (Transaction) 是 指 一 个 完成 一 定 功能 的 
过 程 ,可 以 是 一 个 程序 或 程序 的 一 部 分 。 角 色 是 代表 具有 某 种 能 力 的 人 或 是 某 些 属性 的 人 
的 一 类 抽象 ,角色 和 组 的 主要 区 别 在 于 : 用 户 属于 组 是 相对 固定 的 ,而 用 户 能 被 指派 到 哪些 
角色 则 受 时 间 、 地 点 .事件 等 诸多 因素 影响 。 角 色 比 组 的 抽象 级 别 要 高 ,角色 和 组 的 关系 可 
以 这 样 考虑 ,作为 饰演 的 角色 ,我 是 一 名 学 生 ,我 就 只 能 享有 学 生 的 权限 (区 别 于 老师 ) ,但 是 
我 又 处 于 某 个 班级 中 ,就 同时 只 能 享有 本 “组 ”组 员 的 权限 。 

强制 访问 策略 将 每 个 用 户 及 文件 赋予 一 个 访问 级 别 ,如 最 高 秘密 级 (Top secret) ,秘密 
级 (Secret)、 机 密级 (Confidential) 及 无 级 别 级 (Unclassified) 。 其 级 别 为 T 之 S>C 二 U, 系 统 
根据 主体 和 客体 的 敏感 标记 来 决定 访问 模式 。 访 问 模式 包括 如 下 几 种 。 

(1) 上 读 (read up) : 用 户 级 别 小 于 文件 级 别 的 读 操 作 。 
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(2) 下 读 (read down) : 用 户 级 别 大 于 文件 级 别 的 读 操 作 。 

(3) 上 写 (write up): 用 户 级 别 小 于 文件 级 别 的 写 操作 。 

(4) 下 写 (write down) : 用 户 级 别 等 于 文件 级 别 的 写 操作 。 

依据 Bell-LaPadula 安全 模型 所 制定 的 原则 是 利用 不 上 读 / 不 下 写 来 保证 数据 的 保密 
性 。 参 见 图 8-5, 既 不 允许 低 信任 级 别 的 用 户 读 高 敏感 度 的 信息 ,也 不 允许 高 敏感 度 的 信息 
写 信 低 敏感 度 区 域 ,禁止 信息 从 高 级 别 流向 低级 别 。 强 制 访问 控制 通过 这 种 梯度 安全 标签 
实现 信息 的 单 向 流通 。 依 据 Biba 安全 模型 所 制定 的 原则 是 利用 不 下 读 /不 上 写 来 保证 数据 
的 完整 性 , 见 图 8-6。 在 实际 应 用 中 ,完整 性 保护 主要 是 为 了 避免 应 用 程序 修改 某 些 重要 的 
系统 程序 或 系统 数据 库 。 


主体 客体 主体 客体 
Top secret A Top secret Top secret A Top secret 
禁止 读 允许 写 
J Wt 
Secret 允许 读 Secret Secret Ct 许 写 | Secret | 
克 许 读 禁止 写 
Unclassified Unclassified Unclassified Unclassified 
8-5 ”Bell-LaPadula 安全 模型 
主体 客体 主体 客体 
High High High High | 
integrity integrity integrity ,y integrity 
允许 读 禁止 写 
Medium ”| 允许 读 | Medium Medium ”| 人 光 许 写 | Medium 
CE 天 | 
integrity integrity integrity integrity 
禁止 读 允许 写 
Low Low Low Low 
integrity integrity integrity integrity 


8-6 Biba 安全 模型 


MAC 通常 用 于 多 级 安全 军事 系统 。 强 制 访问 控制 对 专用 的 或 简单 的 系统 是 有 效 的 ， 
但 对 通用 、 大 型 系统 并 不 那么 有 效 。 一 般 强 制 访问 控制 采用 以 下 几 种 方法 。 

(1) 限制 访问 控制 : 一 个 特洛伊 木马 可 以 攻破 任何 形式 的 自主 访问 控制 ,由 于 自主 控 
制 方式 允许 用 户 程序 来 修改 他 拥有 文件 的 存 取 控 制 表 ,因而 为 非法 者 带 来 可 乘 之 机 。MAC 
可 以 不 提供 这 一 方便 ,在 这 类 系统 中 ,用 户 要 修改 存 取 控制 表 的 唯一 途径 是 请 求 一 个 特权 系 
统 调用 。 该 调用 的 功能 是 依据 用 户 终端 输入 的 信息 ,而 不 是 靠 另 一 个 程序 提供 的 信息 来 修 
改 存 取 控制 信息 。 

(2) 过 程控 制 : 在 通常 的 计算 机 系统 中 ,只 要 系统 允许 用 户 自己 编程 ,就 没 办 法 杜绝 特 
洛 伊 木马 。 但 可 以 对 其 过 程 采取 某 些 措施 ,这 种 方法 称 为 过 程控 制 。 例 如 ,警告 用 户 不 要 运 
行 系统 目录 以 外 的 任何 程序 。 提 醒 用 户 注 意 ,如 果 偶 然 调用 一 个 其 他 目录 的 文件 时 ,不 要 做 
任何 动作 ,等 等 。 需要 说 明 的 一 点 是 ,这 些 限制 取决 于 用 户 本 身 执行 与 否 。 因 而 ,自愿 的 限 
制 很 容易 变 成 实际 上 没有 限制 。 
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(3) 系统 限制 : 显然 ,实施 的 限制 最 好 是 由 系统 自动 完成 。 要 对 系统 的 功能 实施 一 些 
限制 。 比 如 ,限制 共享 文件 ,但 共享 文件 是 计算 机 系统 的 优点 ,所 以 是 不 可 能 加 以 完全 限制 
的 。 再 者 ,就 是 限制 用 户 编程 。 事实 上 ,有 许多 不 需 编程 的 系统 都 是 这 样 做 的 。 不 过 这 种 做 
法 只 适用 于 某 些 专用 系统 。 在 大 型 的 通用 系统 中 ,编程 能 力 是 不 可 能 去 除 的 。 在 网 络 中 也 
不 行 ,在 网 络 中 一 个 没有 编程 能 力 的 系统 ,可 能 会 接收 另 一 个 具有 编程 能 力 的 系统 发 出 的 程 
序 。 有 编程 能 力 的 网 络 系统 可 以 对 进入 系统 的 所 有 路 径 进 行 分 析 , 并 采取 一 定 措施 。 这 样 
就 可 以 增加 特洛伊 木马 攻击 的 难度 。 


8.3.3 基于 角色 的 访问 控制 


前 面 两 种 访问 控制 模型 都 存在 的 不 足 是 将 主体 和 客体 直接 绑 定 在 一 起 ,授权 时 需要 对 
每 对 (主体 客体) 指定 访问 许可 。 这 样 存在 的 问题 是 当主 体 和 客体 达到 较 高 的 数量 级 之 后 ， 
授权 工作 将 非常 困难 。20 世纪 90 年 代 以 来 , 随 着 对 在 线 的 多 用 户 、 多 系统 的 研究 不 断 深 
入 ,角色 的 概念 逐渐 形成 ,并 逐步 产生 了 以 角色 为 中 心 的 访问 控制 (Role-Based Access 
Control,RBAC) 模 型 。 

在 RBAC 模型 中 ,角色 是 实现 访问 控制 策略 的 基本 语义 实体 。 系 统管 理 员 可 以 根据 职 
能 或 机 构 的 需求 策略 来 创建 角色 ,给 角色 分 配 权限 和 给 用 户 分 配角 色 等 。 基 于 角色 访问 控 
制 的 核心 思想 是 将 权限 同 角色 关联 起 来 ,而 用 户 的 授权 则 通过 赋予 相应 的 角色 来 完成 ,用 户 
所 能 访问 的 权限 就 由 该 用 户 所 拥有 的 所 有 角色 的 权限 集合 的 并 集 决 定 。 角 色 之 间 可 以 有 继 
承 、 限 制 等 逻辑 关系 ,并 通过 这 些 关 系 影响 用 户 和 权限 的 实际 对 应 。 在 实际 应 用 中 ,根据 事 
业 机 构 中 不 同 工 作 的 职能 可 以 创建 不 同 的 角色 ,每 个 角色 代表 一 个 独立 的 访问 权限 实体 。 
然后 在 建立 了 这 些 角 色 的 基础 上 根据 用 户 的 职能 分 配 相 应 的 角色 ,这 样 用 户 的 访问 权限 就 
通过 被 授予 角色 的 权限 来 体现 。 在 用 户 机 构 或 权限 发 生变 动 时 ,可 以 很 灵活 地 将 该 用 户 从 
一 个 角色 移 到 另 一 个 角色 来 实现 权限 的 协调 转换 ,降低 了 管理 的 复杂 度 ,而 且 这 些 操 作对 用 
户 完 全 透明 。 另 外 在 组 织 机 构 发 生 职 能 性 改变 时 ,应 用 系统 只 需要 对 角色 进行 重新 授权 或 
取消 某 些 权限 ,就 可 以 使 系统 重新 适应 需要 。 这 些 都 使 得 基于 角色 访问 控制 策略 的 管理 和 
访问 方式 具有 无 可 比拟 的 灵活 性 和 易 操作 性 。 

RBAC 是 一 种 非 自主 的 访问 控制 机 制 ,支持 对 特定 安全 策略 进行 集中 管理 。 其 非 自主 
性 表现 在 用 户 并 不 “拥有 ”所 访问 的 对 象 ,换言之 ,用 户 并 不 能 任意 地 将 自己 拥有 的 访问 权限 
授予 其 他 用 户 。RBAC 是 对 DAC 和 MAC 的 改进 ,基于 用 户 在 系统 中 所 起 的 作用 设置 其 访 
问 权 限 。 与 DAC 相 比 ,RBAC 以 非 自 主 性 取代 自主 性 ,提高 了 系统 安全 性 。 与 MAC 相 比 ， 
RBAC 以 基于 角色 的 控制 取代 基于 用 户 的 控制 ,提高 了 系统 的 灵活 性 。RBAC 采用 与 企业 
组 织 结构 一 致 的 方式 进行 安全 管理 ,如 图 8-7 所 示 。 其 基本 思想 是 : 在 用 户 与 角色 之 间 建 
立 多 对 多 关联 ,为 每 个 用 户 分 配 一 个 或 多 个 角色 ; 在 角色 与 权限 之 间 建 立 多 对 多 关联 ,为 每 
个 角色 分 配 一 种 或 多 种 操作 权限 ; 同时 ,通过 角色 将 用 户 与 权限 相关 联 , 即 当 用 户 拥 有 的 一 
个 角色 与 某 权 限 相 关联 时 ,用 户 拥有 该 权限 。RBACo0 中 引入 了 一 个 新 概念 , 即 角 色 继 承 , 通 
过 支持 角色 之 间 的 继承 关系 (包含 关系 ), 从 而 使 角色 形成 一 个 层次 结构 。 若 角色 甲 继承 
(包含 ) 角色 乙 , 则 甲 拥有 乙 的 所 有 权限 。RBAC 采用 继承 机 制 实 现 角色 层次 结构 ,符合 人 
的 自然 思维 方式 和 企业 的 自然 组 织 结构 。 例 如 ,在 一 个 企业 中 ,高 层 管理 员 往 往 拥 有 普通 职 
员 的 所 有 权限 ,通常 的 做 法 是 为 普通 职员 分 配 其 拥有 的 全 部 权限 (权限 3、 权 限 4) ,而 只 为 高 


第 8 章 访问 控 


层 管 理 员 分 配 其 特有 的 那些 权限 (权限 1、 权 限 2) ,默认 则 认为 他 拥有 普通 职员 的 全 部 权限 ， 
如 图 8-8 所 示 。 与 此 对 应 ,在 RBAC 系统 中 可 定义 两 个 角色 : 高 层 管理 员 角 色 和 普通 职员 
角色 ,前 者 继承 (包含 ) 后 者 。 


权限 1 
权限 2 


权限 3 


图 8-7 用 户 、 角 色 与 权限 的 关系 图 8-8 角色 继承 


1. RBAC 模型 基本 术语 

本 节 首 先 给 出 RBAC 模型 中 各 种 术语 的 基本 定义 ,然后 介绍 目前 比较 成 熟 的 RBAC96 
和 ARBAC97 模型 。RBAC 模型 中 的 常用 术语 如 下 。 

(1) 用 户 (User) : 是 一 个 访问 计算 机 系统 中 的 数据 或 者 用 数据 表示 的 其 他 资源 的 主 
体 。 我 们 用 U 表示 全 体 用 户 的 集合 。 用 户 一 般 情况 下 指 人 ,也 可 为 Agent 等 智能 程序 。 

(2) 权限 (Permission): 是 对 计算 机 系统 中 的 数据 或 者 用 数据 表示 的 其 他 资源 进行 访 
问 的 许可 。 我 们 用 P 表示 全 体 权限 的 集合 。 权 限 一 般 是 一 种 抽象 概念 ,表示 对 于 某 种 客体 
资源 的 某 种 操作 许可 。 因 此 有 的 模型 中 将 权限 细 化 为 二 元 组 (操作 ,对 象 ) ,其 中 对 象 是 访问 
控制 系统 中 的 真正 客体 ,操作 是 作用 在 该 对 象 上 的 一 种 访问 方式 。 由 于 该 二 元 组 中 操作 一 
般 是 与 具体 的 对 象 相关 的 ,我们 在 今后 的 模型 中 认为 权限 是 一 个 语义 统一 体 。 

(3) 角色 (Role) : 是 指 一 个 组 织 或 任务 中 的 工作 或 位 置 , 代 表 了 一 种 资格 、 权 利和 责任 。 
我 们 用 R 表示 全 体 角色 的 集合 。 角 色 是 一 种 语义 综合 体 ,可 以 是 一 种 抽象 概念 ,也 可 以 对 
应 于 具体 应 用 领域 内 的 职位 和 权利 。 

(4) 管理 员 角 色 (Administrator Role) : 是 一 种 特定 的 角色 ,用 来 对 角色 的 访问 权限 进 
行 设置 和 管理 。 在 集中 式 管理 控制 模型 中 ,管理 员 角 色 由 一 个 系统 安全 管理 员 来 完成 ; 而 
在 分 布 式 管理 控制 模型 中 ,可 以 采用 指定 区 域 管理 员 来 对 系统 进行 分 布 式 管理 ,每 个 管理 员 
可 以 管理 该 区 域内 的 角色 权限 的 配置 情况 。 当 然 区 域 管理 员 的 创建 和 权限 授予 则 统一 由 顶 
级 的 系统 安全 管理 员 完 成 。 

(5) 用 户 指派 (User Assignment) : 是 用 户 集 U 到 角色 集 R 的 一 种 多 对 多 的 关系 ,也 称 
为 角色 授权 (Role Authorization) 。(x, r) EUA 表示 用 户 x 拥有 角色 ,从 语义 上 来 说 就 表 
示 4 拥 有 wr 所 具有 的 权限 。 

(6) 权限 指派 (Permission Assignment): 是 权限 集 P 到 角色 集 R 的 一 种 多 对 多 的 关 
系 , 即 有 PAR (p, ~) EPA 表示 权限 p 被 赋予 角色 rr, 从 语义 上 来 说 ,就 表示 拥有 的 用 户 
拥有 户 。 

(7) 角色 激活 (Role Activation) : 是 指 用 户 从 被 授权 的 角色 中 选择 一 组 角色 的 过 程 。 
用 户 访问 的 时 候 实 际 具 有 的 角色 只 包含 激活 后 的 角色 ,未 激活 的 角色 在 访问 中 不 起 作用 。 
相对 于 静态 的 角色 授权 来 说 ,角色 激活 是 一 种 动态 的 过 程 ,提供 了 相当 的 灵活 性 。 

(8) 会 话 (Session) : 对 应 于 一 个 用 户 和 一 组 激活 的 角色 ,表示 用 户 进行 角色 激活 的 过 
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程 。 一 个 用 户 可 以 进行 多 次 会 话 , 在 每 次 会 话 中 激活 不 同 的 角色 ,这样 用 户 也 将 具有 不 同 的 
访问 权限 。 用 户 必须 通过 会 话 才 能 激活 角色 。 

(9) 角色 继承 关系 (Role Inheritance) : 是 角色 集 R 中 元 素 间 的 一 种 偏 序 关系 ,满足 以 
下 要 求 。 

O@ 自 反 性 : VrER,r 宇 r。 

@ 反对 称 性 : Vr,rs ER,nr; rn >n =r 

@ 传递 性 : Vri,rs ,rs ER,n 之 ri 站 ri 和 rs>rn 之 rs。 

从 语义 上 来 说 ,两 个 角色 r,s 是 指 前 者 比 后 者 级 别 更 高 ,具有 更 大 的 权利 。 形 式 化 的 
说 ,ni ,rz 蕴涵 rs 对 应 的 权限 指派 ri 也 拥有 ,同时 x 对 应 的 用 户 指派 r; 也 拥有 , 即 有 

ni 宇 r,>Permission(r,) SC Permission(r) 门 User(n) SC User(r,) 

其 中 Permission(r) 表 示 >- 对 应 的 权限 集 ,User (7) 表示 x 对 应 的 角色 集 。 角 色 继 承 关系 允 
许 存在 各 种 形式 ,包括 多 重 继承 。 在 这 个 偏 序 的 意义 下 ,角色 集中 并 不 一 定 存在 最 大 角色 和 
最 小 角色 。 

(10) 角色 层次 图 (Role Hierarchies): 是 给 定 了 角色 继承 关系 之 后 整个 角色 集 形成 的 
一 个 层次 图 ,如 果 二 r; ,那么 在 图 上 就 存在 xr 到 x; 的 一 条 有 向 边 。 根 据 不 同 的 角色 偏 序 
定义 ,角色 层次 图 可 以 是 树 \ 倒 装 树 , 格 , 其 至 极为 复杂 的 图 。 一 般 为 了 简化 角色 层次 图 ,有 
向 边 的 箭头 被 省 略 ,继承 关系 默认 为 自 上 而 下 。 图 8-9 就 是 一 个 角色 层次 图 的 例子 。 

管理 员 (DIR) 


项 目 管理 员 1(PL1) 项 目 管理 员 2(PL2) 


项 目 生产 项 目 质 量 ”项 目 生产 项 目 质量 
工程 师 1 工程 师 1 工程 师 2 工程 师 2 
(PE1) (QE1) (PE2) (QE2) 

工程 师 1(E1) 工程 师 2(E2) 


工程 师 职 位 (ED) 


员工 (E) 
图 8-9 角色 层次 图 


(11) 限制 (Constraints) : 是 在 整个 模型 上 的 一 系列 约束 条 件 . 用 来 控制 指派 操作 ,指定 
职责 分 离 (Separation of Duty,SD) 以 及 避免 冲突 等 。 这 是 一 个 非常 抽象 的 概念 ,RBAC 模 
型 中 并 没有 给 出 限制 的 类 型 和 表述 方式 。 任 何 独立 于 前 面 诸多 术语 的 约束 条 件 都 是 限制 的 
一 种 形式 。 典 型 的 限制 包括 指定 角色 互 斥 关系 .角色 基数 限制 等 。 根 据 职责 分 离 的 不 同 阶 
段 , 限 制 一 般 可 分 为 静态 职责 分 离 和 动态 职责 分 离 。 

(12) 角色 互 斥 关系 (Mutually Exclusive Roles) : 限制 的 一 种 ,用 于 指定 两 个 角色 具有 
不 同 的 职责 ,不 能 让 一 个 用 户 同 时 拥有 。 银 行 的 出 纳 和 会 计 便 是 角色 互 斥 的 简单 例子 。 角 
色 互 斥 关 系 的 目的 是 在 RBAC 模型 中 引入 业务 逻辑 的 规则 ,避免 冲突 的 发 生 。 根 据 互 斥 的 
程度 和 影响 的 范围 不 同 , 角 色 互 斥 有 很 多 种 形式 。 

(13) 角色 基数 限制 (Role Cardinality Constraints) : 限制 的 一 种 ,用 于 指定 一 个 角色 可 
被 同时 授权 或 激活 的 数目 。 比 如 总 经 理 只 能 由 一 个 用 户 担任 ,那么 总 经 理 角色 的 角色 基数 
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就 为 1。 根 据 下 面 定义 的 静态 和 动态 的 职责 分 离 , 角 色 基 数 限制 有 静态 角色 基数 限制 和 动 
态 角 色 基 数 限制 两 种 。 

(14) 静态 职责 分 离 (Static SD) : 是 指 限制 定义 在 用 户 指派 (角色 授权 ) 阶 段 ,与 会 话 及 
角色 激活 无 关 。 以 角色 互 斥 为 例 , 如 果 定 义 两 个 角色 为 静态 的 角色 互 斥 ,那么 任何 一 个 用 户 
都 不 能 同时 被 指派 到 这 两 个 角色 。 静 态 职责 分 离 实现 简单 ,语义 清晰 ,便于 管理 ,但 是 不 够 
灵活 ,有 些 实际 情况 无 法 处 理 。 

(15) 动态 职责 分 离 (Dynamic SD): 是 指 限制 定义 在 角色 激活 阶段 ,作用 域 在 会 话 内 
部 。 仍 以 角色 互 斥 为 例 , 如 果 定 义 两 个 角色 为 动态 的 角色 互 斥 ,那么 一 个 用 户 可 以 同时 被 指 
派 这 两 个 角色 ,但 是 在 任何 一 个 会 话 中 都 不 能 同时 激活 它们 。 由 此 可 见 动态 职责 分 离 更 灵 
活 , 基 本 上 能 处 理 各 种 实际 情况 ,但 实现 略 复杂 。 

2. 基本 模型 RBAC96 


RBAC96 模型 是 Ravi、Sandhu 等 人 于 1996 年 提出 来 的 。 模 型 分 四 个 层次 ,并 具有 如 
图 8-10 所 示 的 包含 关系 。 

1) RBACO 

RBACo 包含 RBAC 模型 的 核心 部 分 (Core RBAC) ,是 最 基本 的 模型 ,图 形 表示 如 图 8-11 
所 示 。 


用 户 角色 分 配 角色 许可 分 配 
(UA) (PA) 
RBAC3 
ee 与 用 户 相 联系 session 
0 的 会 话 集 合 激活 的 角色 
RBACO 人 
8-10 RBAC 模型 图 8-11 RBACo0 模型 


定义 8.1 RBAC0O 可 形式 化 地 定义 如 下 : 

(1) 若干 实体 集 U( 用 户 集 ) ,.R( 角 色 集 )、P( 权 限 集 )、S( 会 话 集 ); 

(2) UA EUXR, 为 多 对 多 的 用 户 角色 指派 关系 ; 

(3) PAEPXR, 为 多 对 多 的 权限 角色 指派 关系 ; 

(4) user: SU ,映射 每 个 会 话 到 一 个 用 户 ; 

(5) roles: S 习 2*, 映射 每 个 会 话 到 一 组 角色 roles(s) 导 {ri (user(s),r)EUA}) 并 且 会 
话 S 拥 有 权限 UrEroles(s){pl(p.r)EPA)。 

从 定义 8. 1 中 可 以 看 出 ,RBACo0 只 包含 最 基本 的 RBAC 元 素 : 用 户 , 角 色 , 权 限 ,会 话 。 
所 有 的 角色 都 是 平 级 的 ,没有 指定 角色 层次 关系 ; 所 有 的 对 象 都 没有 附加 约束 ,没有 指定 
限制 。 

2) RBAC1 

RBACI1 模型 包含 RBAC0 ,然后 定义 了 角色 继承 关系 ,如 图 8-12 所 示 。 

RBACI1 的 形式 化 定义 如 下 。 

定义 8.2 RBACI1 模型 包含 如 下 元 素 : 

(1) U,R,P,S,UA ,PA,user 与 RBAC0 一 致 ; 
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8-12 RBACI1 模型 


(2) RHERXR 是 R 上 的 偏 序 关系 , 记 为 三 , 称 为 角色 继承 ; 

(3) roles: S 一 28 修改 为 roles(s){r|roles(3)}Ut{rlr 宇 r[ (user(s),r)EUA]), 同 
时 会 话 S 拥有 权限 Ur-Eroles(Cs)1p| (过 [CEPA])。 

这 里 RBACI1 体现 了 RBAC 模型 中 角色 继承 关系 的 语义 。 一 个 会 话 拥 有 的 角色 包含 
UA 关系 里 面 指定 的 角色 以 及 它们 的 父 角色 ,会 话 拥有 的 权限 包含 其 拥有 的 所 有 角色 在 父 
关系 里 面 的 权限 以 及 它们 的 子 角 色 对 应 的 权限 。 

3) RBAC2 

RBAC2 模型 同样 包含 RBAC0, 但 是 只 定义 了 限制 。RBAC2 有 一 个 并 非 形式 化 的 定义 如 下 。 

定义 8.3 RBAC2 模型 包含 如 下 元 素 : 

(1) RBACO 中 的 所 有 元 素 ; 

(2) 一 组 限制 条 件 , 用 于 刻画 RBACO0 中 各 元 素 的 组 合 合法 性 。 

RBAC2 模型 并 没有 指定 限制 条 件 的 表现 形式 ,只 是 从 语义 上 给 出 了 一 个 简短 说 明 , 这 
给 了 RBAC 模型 诸多 扩展 形式 。 

4) RBAC3 

RBAC3 包含 RBAC1 和 RBAC2 ,自然 也 包含 RBAC0。 这 是 一 个 完整 的 RBAC 模型 ， 
包含 一 切 模 型 元 素 , 也 是 最 复杂 的 一 种 模型 。 在 这 个 模型 中 ,角色 层次 和 限制 同时 存在 , 限 
制 也 可 以 作用 在 角色 层次 上 。 图 8-13 给 出 了 RBAC96 模型 的 基本 元 素 关系 以 及 不 同 层次 
RBAC 模型 。 

角色 继承 (RH) 


角色 许可 分 配 
(PA) 


图 8-13 RBAC3 模型 
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3. 角色 管理 模型 ARBAC97 

Ravi Sandh 等 在 RBAC96 模型 中 就 曾 提出 了 角色 的 分 布 式 管理 的 问题 ,但 是 没有 详细 
谈 到 具体 如 何 进行 管理 ,之 后 他 们 很 快 就 提出 了 著名 的 分 布 式 角色 管理 模型 ARBAC97 
(Administrative RBAC) ,从 理论 上 给 出 了 RBAC 模型 中 角色 管理 的 办 法 。 

ARBAC97 模型 的 基本 思想 是 利用 RBAC 模型 本 身 来 进行 RBAC 模型 的 管理 ,包括 用 
户 角色 管理 ,权限 角色 管理 .角色 层次 关系 管理 .限制 管理 等 几 个 部 分 。 模 型 的 管理 员 本 身 
也 具有 角色 , 称 为 管理 员 角 色 , 并 且 也 有 角色 继承 关系 。 

管理 员 用 户 通 过 拥有 管理 员 角 色 得 到 对 角色 继承 关系 的 管理 权 。 相 对 于 非 管理 员 的 角 
色 继 承 关 系 , 管 理 员 角色 继承 关系 可 以 是 一 个 单独 的 继承 关系 ,并 且 该 继承 关系 上 的 每 个 管 
理 员 角 色 将 对 应 非 管 理 员 角色 继承 关系 上 的 一 部 分 管理 区 域 ,实现 一 种 分 工 明 确 的 分 布 式 
角色 管理 。 图 8-14 给 出 了 ARBAC97 模型 的 基本 框架 。 


角色 继承 (RH) 


权限 分 配 (PA) 
用 户 角 色 分 配 (ne ) nn) 


管理 角色 继承 管理 权限 分 
(ARH) 配 (APA) 


图 8-14 ARBAC97 模型 


ARBAC97 模型 分 为 三 个 部 分 : 用 户 角色 指派 管理 (CURA97)、 权 限 角色 指派 管理 
(PRA97) 以 及 角色 继承 关系 管理 (RRA97)。 我 们 下 面 分 别 进行 简要 的 介绍 。 

1) URA97 模型 

URA97 模型 管理 用 户 角 色 指 派 。 从 管理 员 的 职责 来 看 ,URA97 模型 分 为 两 个 部 分 : 
指派 模型 (Grant Model) 和 吊销 模型 (Revoke Model) 。 

指派 模型 中 ,为 了 刻画 不 同 层次 的 管理 员 能 够 管理 的 用 户 角色 指派 的 范围 ,模型 定义 了 
一 个 can_ assign 关系 ,确定 每 个 管理 员 对 应 于 每 个 角色 是 否 能 够 进行 用 户 指 派 。 考 虑 到 管 
理 员 之 间 也 存在 一 个 层次 关系 ,实际 中 的 指派 模型 给 每 个 管理 员 指 定 了 一 个 管理 范围 ,可 以 
用 一 个 区 间 来 表示 。 高 级 的 管理 员 角 色 的 管理 区 间 包 含 下 级 角色 的 管理 区 间 ,从 而 形成 了 
一 个 有 层次 的 、 职 责 分 明 的 管理 层次 。 

对 应 于 吊销 模型 ,每 个 管理 员 也 有 一 个 吊销 的 角色 区 间 ,他 可 以 在 该 区 间 中 吊销 任何 角 
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色 的 对 应 用 户 。 根 据 管理 员 层 次 ,我 们 同样 有 一 个 吊销 的 继承 关系 保证 管理 的 不 越级 操作 。 
由 于 一 个 角色 对 应 的 用 户 可 以 是 通过 角色 继承 关系 得 到 的 ,因此 在 吊销 模型 中 又 可 以 分 为 
强 吊 销 (Strong Revoke) 和 弱 吊 销 C(Weak Revoke) 。 如 果 一 个 吊销 操作 是 弱 吊 销 , 那 么 如 果 
该 用 户 是 通过 继承 关系 成 为 该 角色 的 对 应 用 户 , 吊 销 操 作 将 不 起 作用 ; 如 果 是 强 吊 销 , 那 么 
将 强行 剥夺 该 用 户 属于 上 层 角色 的 权利 。 一 般 来 说 强 吊 销 可 能 产生 一 些 不 可 预知 的 后 果 ， 
所 以 处 理 起 来 应 该 比较 慎重 。 

2) PRA97 模型 

PRA97 模型 管理 权限 角色 指派 。 由 于 在 RBAC96 模型 中 权限 和 用 户 的 地 位 是 对 称 
的 ,因此 PRA97 模型 实际 上 是 URA97 模型 的 一 个 对 偶 模 型 。PRA97 模型 中 同样 可 以 定 
义 指 派 模型 和 吊销 模型 ,也 同样 可 以 定义 管理 员 的 管理 区 间 。 在 吊销 模型 中 同样 存在 强 吊 
销 和 弱 吊 销 之 分 。 

3) RRA97 模型 

角色 本 身 的 管理 是 整个 RBAC 模型 中 最 复杂 的 部 分 。 由 于 角色 的 继承 关系 会 影响 到 
用 户 角 色 指 派 和 权限 角色 指派 ,因此 管理 员 可 管理 的 角色 区 间 会 更 加 严格 。 类 似 于 URA97 
模型 ,每 个 管理 员 针 对 每 一 种 改变 角色 的 操作 都 可 以 定义 一 个 can_modify 方法 ,刻画 是 否 
可 以 添加 角色 、 删 除 角 色 以 及 改变 角色 间 的 继承 关系 。RRA97 模型 中 定义 了 多 种 角色 区 间 
的 概念 ,并 且 给 出 了 一 些 形式 化 的 证 明 , 保 证 了 这 些 区 间 能 够 安全 地 实现 角色 模型 的 分 布 式 
管理 。 

4. RBAC 模型 的 特点 和 优势 

从 实质 上 讲 ,RBAC 是 一 种 策略 中 立 的 访问 控制 策略 , 即 它 本 身 并 不 提供 一 种 特定 的 安 
全 策略 (例如 规定 信息 以 单方 向 的 格 的 方式 流动 ) ,RBAC 通过 配置 各 种 参数 (例如 文档 的 安 
全 标志 和 用 户 的 角色 ) 来 实现 某 种 安全 策略 。 在 不 同 的 配置 下 RBAC 模型 可 显示 出 不 同 的 
安全 控制 功能 。 它 可 以 构造 出 MAC 系统 ,也 可 以 构造 出 DAC 系统 ,甚至 可 构造 出 兼备 
MAC 和 DAC 的 系统 。 

RBAC 中 还 引入 了 角色 继承 关系 , 当 一 个 角色 R1 继承 另 一 个 角色 R2 时 ,Rl 就 自动 拥 
有 了 R2 的 访问 权限 。 角 色 继 承 关 系 自然 地 反映 了 一 个 组 织 内 部 的 权利 和 责任 关系 (例如 ， 
外 科 医 生 继承 了 医生 的 所 有 权限 ,而 首席 外 科 医 生 又 继承 了 外 科 医 生 的 所 有 权限 等 ), 为 方 
便 权限 管理 提供 了 帮助 。 

RBAC 的 实用 范围 非常 广泛 ,美国 联邦 技术 标准 局 (NIST) 对 28 个 组 织 机 构 进 行 的 调 
查 结果 表明 ,RBAC 的 功能 相当 强大 ,适用 于 从 政府 机 构 到 商业 应 用 范围 很 广泛 的 许多 类 型 
用 户 的 需求 。 例 如 ,RBAC 是 非常 适用 于 数据 库 应 用 层 的 安全 模型 ,因为 在 应 用 层 角 色 的 逻 
辑 意义 更 为 明显 和 直接 。 角 色 正 在 考虑 作为 新 出 现 的 SQL3 的 一 部 分 ,SQL3 是 为 在 数据 
库 管 理 系统 (Oracle 7.0 等 ) 中 实现 角色 而 提出 来 的 。 另 外 ,RBAC 也 和 主流 技术 、 商 业 的 发 
展 相 协调 。 许 多 软件 产品 直接 支持 RBAC 的 某 种 形式 ,有 些 产品 支持 类 似 角色 的 某 些 概 
念 。 在 Netware、Windows NT 等 流行 操作 系统 中 都 采用 了 类 似 RBAC 的 访问 控制 机 制 。 

RBAC 模型 作为 一 个 较 新 的 模型 ,具有 如 下 的 一 些 优点 。 

(1) 通过 角色 配置 用 户 和 权限 ,增加 了 灵活 性 。 由 于 增加 了 角色 作为 中 介 , 用 户 和 权限 
不 再 直接 相关 ,权限 配置 时 就 非常 灵活 。 而 且 角 色 一 般 会 对 应 于 实际 系统 中 的 一 些 具体 的 
语义 概念 ,管理 员 配 置 的 时 候 也 十 分 方便 、 直 观 。 
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(2) 支持 多 管理 员 的 分 布 式 管理 ,一 个 大 型 访问 控制 系统 不 可 能 由 一 个 管理 员 负责 全 
面 管理 ,因此 RBAC 模型 提供 的 分 布 式 管理 模式 就 非常 重要 了 。 虽 然 配置 分 布 式 管理 仍 不 
是 很 容易 ,但 是 从 模型 的 角度 就 支持 这 种 管理 模式 不 失 为 一 大 进步 。 

(3) 支持 角色 继承 。 为 了 提高 效率 ,避免 相同 权限 的 重复 设置 ,RBAC 采用 了 “角色 继 
承 ” 的 概念 ,定义 了 这 样 的 一 些 角色 ,它们 有 自己 的 属性 ,但 可 能 还 继承 其 他 角色 的 属性 和 权 
限 。 角 色 继 承 把 角色 组 织 起 来 ,能 够 很 自然 地 反映 组 织 内 部 人 员 之 间 的 职权 、 责 任 关 系 。 

(4) 完全 独立 于 其 他 安全 手段 ,是 策略 中 立 的 。 对 于 一 个 安全 的 访问 控制 系统 来 说 , 策 
略 中 立 是 十 分 重要 的 。 访 问 控制 本 身 必 须 不 依赖 于 原 有 系统 的 任何 其 他 安全 措施 ,这 样 才 
能 使 得 该 访问 控制 模型 在 不 同 的 应 用 背景 下 都 能 得 到 应 用 。RBAC 模型 很 好 地 做 到 了 这 一 
点 ,使 得 它 可 以 无 缝 结合 到 一 般 的 安全 产品 中 去 。 

另外 ,RBAC 模型 中 角色 的 概念 有 点 类 似 传统 的 用 户 组 (group) 的 概念 ,但 是 它们 是 有 
区 别 的。 用 户 组 是 一 部 分 具有 类 似 属 性 的 用 户 集合 ,只 能 代表 一 组 用 户 的 属性 。 在 权限 配 
置 过 程 中 ,还 是 需要 针对 不 同 的 用 户 组 赋予 相应 的 权限 。 而 角色 是 一 个 更 抽象 的 概念 , 它 可 
以 代表 一 组 用 户 ,也 可 以 代表 一 组 权限 ,还 可 以 代表 纯粹 的 没有 具体 用 户 组 或 者 权限 组 对 应 
的 角色 。 在 RBAC 模型 中 ,角色 的 概念 比 传统 的 用 户 组 的 概念 丰富 得 多 ,因此 也 能 够 更 灵 
活 地 控制 和 管理 整个 访问 控制 模型 。 


8.4 访问 控制 的 实现 


8.4.1 访问 控制 的 实现 机 制 


系统 的 访问 控制 机 制 是 通过 保证 系统 的 物理 状态 对 应 于 抽象 模型 的 授权 状态 ,实施 系 
统 的 安全 策略 。 机 制 必须 监控 所 有 客体 的 所 有 访问 和 明确 的 授权 或 撤销 权利 的 命令 ,和 否则， 
系统 可 能 进入 一 个 不 与 模型 授权 状态 对 应 的 物理 状态 。 如 果 访 问 机 制 不 能 完全 支持 策略 ， 
可 能 会 出 现 两 种 情况 : 

(1) 一 个 授权 或 访问 被 拒绝 ,而 按 策略 要 求 它 却 是 应 该 被 许可 的 ; 

(2) 一 个 授权 或 访问 被 允许 ,而 按照 策略 要 求 它 却 是 应 该 被 拒绝 的 。 

前 者 是 “过 保护 的 ”, 后 者 是 不 安全 的 。 设 S 是 可 能 状 
态 的 集合 ,P 是 给 定安 全 策略 下 的 授权 状态 ,N 是 未 授权 状 
态 的 集合 ,R 是 给 定 机 制 下 的 可 达 状 态 。 其 中 ,N UP 二 S， | 授权 状态 P 
则 当 REP 时 是 安全 的 ,R=P 时 是 精确 的 。 安 全 性 与 精确 
性 的 示意 图 参见 图 8-15。 

在 要 实现 的 系统 中 ,访问 控制 机 制 不 安全 是 不 允许 的 ， 
使 机 制 绝对 精确 也 是 困难 的 ,但 应 力求 精确 。 人 


8.4.2 访问 控制 能 力 列表 


能 力 是 发 起 者 拥有 的 一 个 有 效 标签 , 它 授权 持 有 者 能 以 特定 的 方式 访问 特定 的 目标 。 
能 力 可 以 从 一 个 用 户 传递 给 另 一 个 用 户 ,但 任何 人 不 能 摆脱 负责 任 的 机 构 进行 修改 和 伪造 。 
从 发 起 者 的 环境 中 根据 一 个 关于 用 户 的 访问 许可 存储 表 产 生 能 力 。 用 访问 矩阵 的 语言 


未 授权 状态 N 


可 达 状 态 R 
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讲 , 就 是 运用 访问 怎 阵 中 用 户 包含 的 每 行 信息 产生 能 力 。 

网 络 中 通常 包括 多 种 安全 区 域 , 直 接地 围绕 一 个 目标 的 安全 区 域 通常 立即 需要 一 个 关 
于 该 目标 的 访问 决策 的 表达 。 然 而 ,能 力 机 制 适合 于 联系 相对 较 少 的 目标 ,对 发 起 者 的 访问 
控制 决策 相对 容易 实现 的 情况 。 能 力 机 制 的 实施 主要 依赖 于 在 系统 间 安 全 传递 能 力 的 方 
法 。 能 力 的 缺点 是 目标 的 拥有 者 和 管理 者 不 容易 废除 以 前 授予 的 许可 。 

一 个 能 力 用 二 元 组 (zx,r) 表 示 ,zx 是 某 客体 的 唯一 名 字 ( 逻 辑 地 址 ) ,~ 是 对 xz 的 访问 权 
的 集合 。 某 些 能 力也 指定 客体 的 类 型 。 能 力 相当 于 入 场 券 ,占有 它 就 可 以 无 条 件 地 使 持 券 
者 获得 对 z 的 访问 权 (属于 r)。 一 旦 持 有 能 力 ,就 不 需要 生效 过 程 。 没 有 能 力 机 制 ,每 次 访 
问 生效 是 不 可 省 略 的 ,生效 可 以 通过 搜索 一 张 授权 表 完 成 。 


8.4.3 访问 控制 安全 标签 列表 


通常 ,安全 标签 是 限制 在 一 个 传达 的 或 存储 的 数据 项 这 样 的 目标 上 的 一 组 安全 属性 信 
息 项 。 在 访问 控制 机 制 中 ,安全 标签 是 属于 用 户 、 目 标 、 访 问 请 求 或 传输 的 一 个 访问 控制 信 
息 。 作 为 一 种 访问 控制 机 制 的 安全 标签 最 通常 的 用 途 是 支持 多 级 访问 控制 策略 。 在 发 起 者 
的 环境 中 ,标签 是 属于 每 个 访问 请 求 以 识别 发 起 者 的 等 级 。 标 签 的 产生 和 附着 过 程 必须 可 
信 ,而 且 必 须 同 时 跟随 一 个 把 它 以 安全 的 方式 束缚 在 一 个 访问 请 求 的 传输 上 。 每 个 目标 都 
有 一 个 属于 它 的 标记 来 确定 它 的 密级 。 在 处 理 一 个 访问 请 求 时 ,目标 环境 比较 访问 请 求 上 
的 标签 和 目标 上 的 标签 ,应 用 策略 规则 (Bell Lapadula 规则 ) 决 定 是 允许 还 是 拒绝 访问 。 

典型 的 标签 比 上 面 建议 的 复杂 得 多 , 它 还 包含 做 访问 控制 决策 时 所 用 到 的 额外 属性 。 
像 这 样 的 属性 含有 处 理 和 分 发 警告 .间隔 指示 器 、 定 时 限制 ,发 起 者 识别 等 信息 。 标 签 还 包 
含 安全 策略 /机 构 识 别 和 在 验证 、 审 计 中 所 用 到 的 标识 符 。 


8.4.4 访问 控制 实现 的 具体 类 别 


访问 控制 是 网 络 安全 防范 和 保护 的 重要 手段 , 它 的 主要 任务 是 维护 网 络 系统 安全 、 保 证 
网 络 资源 不 被 非法 使 用 和 非常 访问 。 通 常 在 技术 实现 上 ,包括 以 下 几 部 分 。 

(1) 接 人 访问 控制 : 接 入 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 ,是 网 络 访问 的 
最 先 屏 障 , 它 控制 哪些 用 户 能 够 登录 到 服务 器 并 获取 网 络 资源 ,控制 准许 用 户 入 网 的 时 间 和 
准许 他 们 在 哪 台 工作 站 入 网 。 例 如 ,ISP 服务 商 实现 的 就 是 接 入 服务 。 用 户 的 接 入 访问 控 
制 是 对 合法 用 户 的 验证 ,通常 使 用 用 户 名 和 口令 的 认证 方式 。 一 般 可 分 为 三 个 步骤 : 用 户 
名 的 识别 与 验证 、 用 户口 令 的 识别 与 验证 和 用 户 账号 的 默认 限制 检查 。 

(2) 资源 访问 控制 : 是 对 客体 整体 资源 信息 的 访问 控制 管理 。 其 中 包括 文件 系统 的 访 
问 控 制 (文件 目录 访问 控制 和 系统 访问 控制 ) ,文件 属性 访问 控制 ,信息 内 容 访 问 控 制 。 文 件 
目录 访问 控制 是 指 用 户 和 用 户 组 被 赋予 一 定 的 权限 ,在 权限 的 规则 控制 许可 下 ,哪些 用 户 和 
用 户 组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 ,哪些 用 户 可 以 对 其 中 的 哪些 文件 、 目 
录 、 子 目录 设备 等 执行 何 种 操作 。 系 统 访问 控制 是 指 一 个 网 络 系统 管理 员 应 当 为 用 户 指定 
适当 的 访问 权限 ,这 些 访问 权限 控制 着 用 户 对 服务 器 的 访问 ; 应 设置 口令 锁定 服务 器 控制 
台 , 以 防止 非法 用 户 修改 、 删 除 重要 信息 或 破坏 数据 ; 应 设 定 服务 器 登录 时 间 限 制 , 非 法 访 
问 者 检测 和 关闭 的 时 间 间 隔 ; 应 对 网 络 实施 监控 ,记录 用 户 对 网 络 资源 的 访问 ,对 非法 的 网 
络 访问 ,能 够 用 图 形 或 文字 或 声音 等 形式 报警 等 。 
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(3) 文件 属性 访问 控制 : 当 用 文件 .目录 和 网 络 设备 时 ,应 给 文件 .目录 等 指定 访问 属 
性 。 属 性 安全 控制 可 以 将 给 定 的 属性 与 要 访问 的 文件 .目录 和 网 络 设备 联系 起 来 。 

(4) 网 络 端口 和 节点 的 访问 控制 : 网 络 中 的 节点 和 端口 往往 加 密 传 输 数据 ,这 些 重 要 
位 置 的 管理 必须 防止 黑客 发 动 的 攻击 。 对 于 管理 和 修改 数据 ,应 该 要 求 访问 者 提供 足以 证 
明 身 份 的 验证 器 (如 智能 卡 ) 。 


8.4.5 一 般 信 息 模 型 


上 面 提 到 的 三 种 机 制 类 型 一 一 访问 控制 列表 、 能 力 和 安全 标签 ,传统 上 认为 是 三 种 截然 
不 同 的 实施 访问 控制 的 途径 。 然 而 ,人 们 越 来 越发 现 现 代 网 络 控制 机 制 不 能 简单 地 划分 为 
三 种 类 型 中 的 某 一 种 。 它 们 大 多 数 都 包含 了 至 少 两 种 类 型 的 特点 。 三 种 类 型 机 制 和 它们 的 
变种 均 是 一 个 基于 一 般 的 信息 模型 的 访问 控制 机 制 的 特例 。 访 问 控制 决策 要 根据 它们 包含 
的 各 种 类 型 的 访问 控制 信息 ,特别 是 ,属于 发 起 者 的 信息 和 属于 目标 的 信息 。 属 于 发 起 者 的 
信息 直接 关联 着 发 起 者 , 它 来 源 于 发 起 者 的 区 域 。 属 于 目标 的 信息 直接 关联 着 目标 , 它 来 源 
于 目标 区 域 。 

表 8-5 示范 了 访问 控制 信息 在 访问 控制 列表 机 制 、 安 全 标签 和 能 力 机 制 中 是 如 何 映射 
到 属于 发 起 者 的 信息 和 属于 目标 的 信息 。 对 于 访问 控制 列表 ,唯一 需要 的 属于 发 起 者 的 信 
息 是 有 关 发 起 者 身份 的 标识 ,同时 在 属于 目标 的 信息 中 有 真实 的 记录 描述 发 起 者 许可 。 相 
反 , 对 于 能 力 机 制 ,真实 的 属于 发 起 者 的 信息 在 产生 能 力 时 要 用 到 ,唯一 需要 的 属于 目标 的 
信息 是 关于 目标 身份 的 标识 。 安 全 标签 机 制 介 于 上 述 两 者 之 间 , 它 需要 属于 发 起 者 的 信息 
比 访问 控制 列表 多 ,需要 属于 目标 的 信息 比 能 力 机 制 强 。 


表 8-5 访问 控制 机 制 的 范围 


属于 发 起 者 的 信息 属于 目标 的 信息 
访问 控制 列表 发 起 者 身份 发 起 者 身份 ”发 起 者 的 许可 
许可 集 
安全 标签 清除 级 分 类 
能 力 目标 身份 | 目标 的 许可 集 目标 身份 


8.5 访问 控制 与 审计 


8.5.1 审计 跟踪 概述 


审计 是 对 访问 控制 的 必要 补充 ,是 访问 控制 的 一 个 重要 内 容 。 审 计 会 对 用 户 使 用 何 种 
信息 资源 、 使 用 的 时 间 以 及 如 何 使 用 (执行 何 种 操作 ) 进 行 记录 与 监控 。 审 计 和 监控 是 实现 
系统 安全 的 最 后 一 道 防线 ,处 于 系统 的 最 高 层 。 审 计 与 监控 能 够 再 现 原 有 的 进程 和 问题 ,这 
对 于 责任 追查 和 数据 恢复 非常 有 必要 。 

审计 跟踪 是 系统 活动 的 流水 记录 。 该 记录 按 事 件 从 始 至 终 的 途径 ,顺序 检查 、 审 查 和 检 
验 每 个 事件 的 环境 及 活动 。 审 计 跟 踪 通 过 书面 方式 提供 应 负责 任 人 员 的 活动 证 据 以 支持 访 
问 控制 职能 的 实现 (职能 是 指 记录 系统 活动 并 可 以 跟踪 到 对 这 些 活动 应 负责 任 人 员 的 能 
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力 )。 审 计 跟 踪 记 录 系 统 活动 和 用 户 活动 。 系 统 活动 包括 操作 系统 和 应 用 程序 进程 的 活动 ; 
用 户 活 动 包括 用 户 在 操作 系统 中 和 应 用 程序 中 的 活动 。 通 过 借助 适当 的 工具 和 规程 ,审计 
跟踪 可 以 发 现 违反 安全 策略 的 活动 .影响 运行 效率 的 问题 以 及 程序 中 的 错误 。 审计 跟踪 不 
但 有 助 于 帮助 系统 管理 员 确保 系统 及 其 资源 免 遭 非法 授权 用 户 的 侵害 ,同时 还 能 提供 对 数 
据 恢复 的 帮助 。 


8.5.2 审计 内 容 


审计 跟踪 可 以 实现 多 种 安全 相关 目标 ,包括 个 人 职能 .事件 重建 .人 侵 检测 和 故障 分 析 。 

(1) 个 人 职能 (individual accountability) : 审计 跟踪 是 管理 人 员 用 来 维护 个 人 职能 的 技 
术 手 段 。 如 果 用 户 知 道 他 们 的 行为 活动 被 记录 在 审计 日 志 中 ,相应 的 人 员 需 要 为 自己 的 行 
为 负责 ,他们 就 不 太 会 违反 安全 策略 和 绕 过 安全 控制 措施 。 例 如 审计 跟踪 可 以 记录 改动 前 
和 改动 后 的 记录 ,以 确定 是 哪个 操作 者 在 什么 时 候 做 了 哪些 实际 的 改动 ,这 可 以 帮助 管理 层 
确定 错误 到 底 是 由 用 户 .操作 系统 .应 用 软件 还 是 由 其 他 因素 造成 的 。 人 允许 用 户 访问 特定 资 
源 意 味 着 用 户 要 通过 访问 控制 和 授权 实现 他 们 的 访问 ,被 授权 的 访问 有 可 能 会 被 滥用 ,导致 
敏感 信息 的 扩散 , 当 无 法 阻止 用 户 通过 其 合法 身份 访问 资源 时 ,审计 跟踪 就 能 发 挥 作用 。 审 
计 跟 踪 可 以 用 于 检查 和 检测 他 们 的 活动 。 

(2) 事件 重建 (reconstruction of events) : 在 发 生 故 障 后 ,审计 跟踪 可 以 用 于 重建 事件 
和 数据 恢复 。 通 过 审查 系统 活动 的 审计 跟踪 可 以 比较 容易 地 评估 故障 损失 ,确定 故障 发 生 
的 时 间 ,原因 和 过 程 。 通 过 对 审计 跟踪 的 分 析 就 可 以 重建 系统 和 协助 恢复 数据 文件 ; 同时 ， 
还 有 可 能 避免 下 次 发 生 此 类 故障 的 情况 。 

(3) 入 侵 检测 (intrusion detection) : 审计 跟踪 记录 可 以 用 来 协助 和 人 侵 检测 工作 。 如 果 
将 审计 的 每 一 笔记 录 都 进行 上 下 文 分 析 , 就 可 以 实时 发 现 或 是 过 后 预防 入 侵 检 测 活动 。 实 
时 入 侵 检 测 可 以 及 时 发 现 非法 授权 者 对 系统 的 非法 访问 ,也 可 以 探测 到 病毒 扩散 和 网 络 攻 击 。 

(4) 故障 分 析 (problem analysis) : 审计 跟踪 可 以 用 于 实时 审计 或 监控 。 


习题 8 


1. 访问 控制 模型 是 什么 ?影响 决策 单元 进行 决策 的 因素 有 哪些 ? 

2. 试 描述 访问 控制 的 八 个 种 类 有 哪些 。 

3. 强制 访问 控制 模型 主要 有 哪 几 种 ? 其 中 哪 种 模型 只 允许 向 下 读 、 向 上 写 ? 

4. Bell-LaPadula 是 否 允 许 低 信任 级 别 的 用 户 读 高 敏感 度 的 信息 ,是 否 允 许 高 敏感 度 
的 信息 写 入 低 敏感 度 区 域 ? 

5. Biba 模型 是 否 允许 下 读 和 上 写 ? 

6. RBACo0 中 引入 的 角色 继承 概念 是 什么 意思 ? 

7. RBAC 模型 的 特点 和 优势 有 哪些 ? 

8. RBAC96 和 ARBAC97 相 比 ,有 什么 地 方 不 同 ? 

9. 访问 控制 是 网 络 安 全 防范 和 保护 的 重要 手段 ,在 技术 实现 上 包括 哪 几 部 分 ? 

10. 审计 跟踪 可 以 实现 哪 几 种 安全 相关 目标 ? 

11. 李 四 对 进程 1 具有 写 权 限 ,那么 李 四 是 否 可 以 给 进程 1 发 送 数 据 ? 张 三 对 进程 1 
有 写 权 限 , 那 么 张 三 能 否 接 收 进程 1 发 来 的 数据 ? 
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本 章 主要 介绍 各 种 网 络 安全 技术 ,包括 网 络 探测 .网络 窃听、 网 络 欺骗 、 
拒绝 服务 攻击 ,缓冲 区 溢出 攻击 、SQL 注入 攻击 ,以 及 计算 机 病毒 与 恶意 软件 。 


9.1 网 络 攻击 


目前 造成 网 络 不 安全 的 主要 因素 是 系统 ,协议 及 数据 库 等 的 设计 上 存在 
缺陷 。 由 于 当今 的 计算 机 网 络 操作 系统 在 本 身 结 构 设 计 和 代码 设计 时 偏重 
考虑 系统 使 用 时 的 方便 性 ,导致 了 系统 在 远程 访问 .权限 控制 和 口令 管理 等 
许多 方面 存在 安全 漏洞 。 攻 击 者 通常 利用 这 些 安 全 漏洞 来 实施 网 络 攻击 。 


9.1.1 安全 漏洞 概述 


安全 漏洞 是 网 络 探测 中 的 重点 目标 ,主要 指 在 硬件 、 软 件 . 协 议 的 具体 实 
现 或 系统 安全 策略 上 存在 缺陷 ,从 而 使 攻击 者 能 够 在 未 授权 的 情况 下 访问 或 
破坏 系统 。 如 在 网 络 文件 系统 CNFS) 协 议 中 认证 方式 上 的 弱点 ,在 UNIX 系 
统管 理 员 设置 匿名 FTP 服务 时 配置 不 当 的 问题 都 可 能 被 攻击 者 使 用 ,威胁 
到 系统 的 安全 。 因 而 这 些 都 可 以 认为 是 系统 中 存在 的 安全 漏洞 。 

安全 漏洞 按 其 对 目标 主机 的 危险 程度 一 般 分 为 三 级 。 

(1) A 级 漏洞 。 它 是 允许 恶意 人 侵 者 访问 并 可 能 会 破坏 整个 目标 系统 
的 漏洞 ,如 ,允许 远程 用 户 未 经 授权 访问 的 漏洞 。A 级 漏洞 是 威胁 最 大 的 一 
种 漏洞 ,大 多 数 A 级 漏洞 是 由 于 较 差 的 系统 管理 或 配置 有 误 造 成 的 ,在 大 量 
的 远程 访问 软件 中 均 可 以 找到 这 样 的 漏洞 。 如 : FTP、GOPHER、TELNET、 
SENDMAIL FINGER 等 一 些 网 络 程序 常 存 在 一 些 严重 的 A 级 漏洞 。 

(2) B 级 漏洞 。 它 是 允许 本 地 用 户 提 高 访问 权限 ,并 可 能 允许 其 获得 系 
统 控制 的 漏洞 。 例 如 ,允许 本 地 用 户 ( 本 地 用 户 是 在 目标 机 器 或 网 络 上 拥有 
账号 的 所 有 用 户 ) 非 法 访问 的 漏洞 。 网 络 上 大 多 数 B 级 漏洞 是 由 应 用 程序 中 
的 一 些 缺 陷 或 代码 错误 引起 的 。 因 编程 缺陷 或 程序 设计 语言 的 问题 造成 的 
缓冲 区 溢出 问题 是 一 个 典型 的 B 级 安全 漏洞 。 据 统计 ,利用 缓冲 区 洲 出 进行 
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攻击 占 所 有 系统 攻击 的 80% 以 上 。 

(3) C 级 漏洞 。 它 是 任何 允许 用 户 中 断 、 降 低 或 阻碍 系统 操作 的 漏洞 ,如 拒绝 服务 漏 
洞 。 拒 绝 服务 攻击 没有 对 目标 主机 进行 破坏 的 危险 ,攻击 只 是 为 了 达到 某 种 目的 ,而 干扰 目 
标 主机 正常 工作 。 

由 上 述 内 容 可 知 ,对 系统 危害 最 严重 的 是 A 级 漏洞 ,其 次 是 B 级 漏洞 ,C 级 漏洞 是 对 系 
统 正常 工作 进行 干扰 。 


9.1.2 网 络 攻击 的 概念 


网 络 攻 击 是 指 攻击 者 利用 网 络 存在 的 漏洞 和 安全 缺陷 对 网 络 系统 的 硬件 .软件 及 其 系 
统 中 的 数据 进行 的 攻击 。 目 前 网 络 互 连 一 般 采用 TCP/IP, 它 是 一 个 工业 标准 的 协议 簇 ,但 
该 协议 簇 在 制定 之 初 ,对 安全 问题 考虑 不 多 ,协议 中 有 很 多 的 安全 漏洞 。 同 样 ,数据 库 管 理 
系统 (DBMS) 也 存在 数据 的 安全 性 、 权 限 管 理 及 远程 访问 等 方面 问题 ,在 DBMS 或 应 用 程 
序 中 可 以 预先 安置 从 事情 报 收集 、 受 控 激 发 .定时 发 作 等 破坏 程序 。 

由 此 可 见 ,针对 系统 、 网 络 协议 及 数据 库 等 ,无 论 是 其 自身 的 设计 缺陷 ,还 是 由 于 人 为 的 
因素 产生 的 各 种 安全 漏洞 ,都 可 能 被 一 些 另 有 图 谋 的 攻击 者 所 利用 并 发 起 攻击 。 因 此 若 要 
保证 网 络 安全 可靠, 必须 熟知 攻击 者 实施 网 络 攻击 的 技术 原理 和 一 般 过 程 。 只 有 这 样 才能 
做 好 必要 的 安全 防备 ,从 而 确保 网 络 运行 的 安全 和 可 靠 。 


9.1.3 网 络 攻 击 的 一 般 流 程 


攻击 者 在 实施 网 络 攻击 时 的 一 般 流程 包括 几 个 步骤 : 信息 的 收集 .系统 安全 缺陷 探测 、 
实施 攻击 和 巩固 攻击 成 果 四 个 阶段 。 

(1) 信息 的 收集 : 攻击 者 选取 攻击 目标 主机 后 ,利用 公开 的 协议 或 工具 通过 网 络 收 集 
目标 主机 相关 信息 的 过 程 。 这 一 过 程 并 不 对 目标 主机 产生 直接 的 影响 ,而 是 为 进一步 的 人 
侵 提供 有 用 信息 。 例 如 攻击 者 可 以 通过 SNMP 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目 
标 主机 所 在 网 络 的 拓扑 结构 及 其 内 部 细节 。 

(2) 系统 安全 缺陷 探测 : 在 收集 到 攻击 目标 的 相关 信息 后 ,攻击 者 通常 会 利用 一 些 自 
行 编制 或 特定 的 软件 探测 攻击 目标 ,寻找 攻击 目标 系统 内 部 的 安全 漏洞 ,为 实施 真正 的 攻击 
做 准备 。 

(3) 实施 攻击 : 当 获取 到 足够 的 信息 后 ,攻击 者 就 可 以 结合 自身 的 水 平 及 经 验 总 结 制 
定 出 相应 的 攻击 方法 ,实施 真正 的 网 络 攻击 。 

(4) 巩固 攻击 成 果 : 在 成 功 实施 攻击 后 ,攻击 者 往往 会 利用 获取 到 的 目标 主机 的 控制 
权 , 清 除 系统 中 的 日 志 记 录 和 留 下 后 门 。 例 如 更 改 某 些 系 统 设置 .在 系统 中 置信 特洛伊 木马 
或 其 他 一 些 远 程 操纵 程序 ,以 便 日 后 能 不 被 觉察 地 再 次 进入 系统 。 

除了 这 四 个 基本 的 攻击 步骤 外 ,高 明 的 攻击 者 往往 会 在 实施 攻击 前 做 好 自身 的 隐藏 工 
作 , 以 规避 被 网 络 安全 技术 人 员 追 踪 的 风险 。 


9.1.4 网 络 攻 击 的 分 类 


网 络 攻击 在 较 高 的 层次 上 可 分 为 两 类 : 主动 攻击 和 被 动 攻击 。 
(1) 主动 攻击 : 指 攻击 者 访问 他 所 需 信 息 必 须要 实施 其 主观 上 的 故意 行为 。 主 动 攻击 
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包括 拒绝 服务 攻击 、 信 息 复 改 ,资源 使 用 .欺骗 等 攻击 方法 。 
(2) 被 动 攻击 : 主要 是 收集 信息 而 不 是 进行 访问 ,数据 的 合法 用 户 很 难 觉察 到 这 种 攻 
击 行为 。 被 动 攻击 包括 嗅 探 , 信 息 收集 等 攻击 方法 。 
攻击 者 在 实施 网 络 攻击 时 一 般 都 会 综合 运用 主动 和 被 动 攻击 技术 ,以 下 将 详细 介绍 各 
种 常见 的 攻击 技术 。 


9.2 网 络 探测 


由 于 初始 信息 的 未 知性 ,网 络 攻击 通常 具备 一 定 的 难度 。 因 此 ,探测 是 攻击 者 在 攻 
击 开 始 前 必需 的 情报 收集 工作 ,攻击 者 通过 这 个 过 程 需要 尽 可 能 多 地 了 解 攻击 目标 安全 
相关 的 各 方面 信息 ,以 便 能 够 实施 针对 攻击 。 探 测 又 可 以 分 为 三 个 基本 步 又: 踩点、 扫描 
和 查 点 。 


9.2.1 网 络 踩点 


网 络 踩点 (Footprinting) 是 指 攻 击 者 收集 攻击 目标 相关 信息 的 方法 和 步骤 ,主要 包括 攻 
击 对 象 的 各 种 联系 信息 ,包括 名 字 、 邮 件 地 址 和 电话 号 码 、 传 真 号 、IP 地 址 范围 .DNS 服务 
器 .邮件 服务 器 等 相关 信息 。 其 目的 在 于 了 解 攻击 目标 的 基本 情况 .发 现存 在 的 安全 漏洞 、 
寻找 管理 中 的 薄弱 环节 和 确定 攻击 的 最 佳 时 机 等 ,为 选取 有 效 的 攻击 手段 和 制定 最 佳 的 攻 
击 方案 提供 依据 。 

对 于 一 般 用户 来 说 ,如 果 能 够 利用 互联 网 中 提供 的 大 量 信 息 来 源 ,就 能 逐渐 缩小 范围 ， 
从 而 锁定 所 需 了 解 的 目标 。 目 前 实用 的 流行 方式 有 : 通过 网 页 搜寻 和 链接 搜索 .利用 互联 
网 域名 注册 机 构 进行 Whois 查询 ,利用 Traceroute 获取 网 络 拓扑 结构 信息 等 。 


9.2.2 网 络 扫描 


网 络 扫描 则 是 攻击 者 获取 活动 主机 、 开 放 服 务 .操作 系统 、 安 全 漏洞 等 关键 信息 的 重要 
技术 。 扫 描 技 术 包括 Ping 扫描 (确定 哪些 主机 正在 活动 )、 端 口 扫描 (确定 有 哪些 开放 服 
务 ) .操作 系统 辨识 (确定 目标 主机 的 操作 系统 类 型 ) 和 安全 漏洞 扫描 (获得 目标 上 存在 着 哪 
些 可 利用 的 安全 漏洞 ) 。 

从 攻击 者 信息 收集 的 角度 来 看 ,攻击 目标 信息 的 收集 尤为 重要 ; 这 些 信息 可 能 包括 远 
程 机 器 上 运行 的 各 种 TCP/UDP 服务 .操作 系统 版 本 /类 型 信息 .应 用 程序 版 本 /类 型 信息 、 
系统 存在 的 安全 漏洞 等 。 主 机 信息 的 收集 主要 通过 一 些 扫描 工具 ,如 端口 扫描 来 完成 。 一 
般 端口 扫描 的 过 程 如 图 9-1 所 示 。 攻 击 者 发 向 受害 者 的 探测 数据 包 , 目 的 主机 通常 会 根据 
不 同 的 探测 数据 包 了 予以 回应 ,攻击 者 通过 分 析 受 害 者 的 回应 获取 大 量 有 用 的 主机 信息 。 


(Nh, 探测 包 ey 


攻击 者 攻击 目标 
图 9-1 端口 扫描 过 程 
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以 下 列举 了 一 些 常见 的 扫描 类 型 。 

(1) TCP 连接 扫描 : 这 是 最 基本 的 扫描 方式 。 通 过 connect() 系 统 调用 向 目的 主机 某 
端口 (如 80 端口 ) 发 送 完整 的 TCP 连接 请 求 。 如 果 能 够 顺利 完成 三 次 握手 过 程 , 则 此 端口 
开放 。 这 种 方法 比较 容易 被 操作 系统 检测 。 

(2) TCP SYN 扫描 :“ 半 连接 扫描。 向 目的 主机 只 发 送 TCP 连接 请 求 (SYN 请 求 )， 
如 返回 SYN/ACK, 则 说 明 目 的 主机 相应 端口 处 于 等 待 连接 状态 ; 如 收 到 RST/ACK 应 答 ， 
则 端口 未 开放 。 这 种 方法 比 完整 连接 扫描 更 隐蔽 ,操作 系统 一 般 不 予 记 录 。 

(3) TCP FIN 扫描 : 扫描 工具 向 目的 端口 发 送 FIN 请 求 , 如 端口 关闭 ,按照 RFC793 的 
要 求 , 应 该 返回 RST 包 。 适 用 于 UNIX 系统 主机 ,Windows 系统 (没有 遵守 RFC793) 不 受 
影响 。 

(4) TCP ACK 扫描 : 向 目标 端口 发 送 ACK 包 , 可 以 用 来 检测 “防火 墙 ” 安 装 情 况 。 了 
解 防 火 墙 类 型 等 信息 。 

(5) TCP 窗口 扫描 : 根据 返回 包 的 窗口 值 ,检测 目标 系统 端口 是 否 开放 、 是 否 过 滤 。 

(6) TCP RPC 扫描 : 用 于 UNIX 系统 ,检查 远程 过 程 调用 的 端口 以 及 对 应 的 应 用 程序 
及 其 版 本 等 信息 。 

(7) UDP 扫描 : 向 目标 端口 发 送 UDP 包 , 如 返回 “ICMP PORT UNREACHABLE”， 
则 端口 关闭 ; 否则 端口 开放 。 

(8) ICMP 扫描 : 通过 向 目的 主机 发 送 ICMP 探测 包 , 分 析 应 答 包 数据 可 以 探测 目的 主 
机 操作 系统 类 型 等 信息 。 由 于 ICMP 探测 包 的 隐蔽 性 (和 正常 数据 包 类 似 ), 所 以 一 般 的 入 
侵 检 测 系 统 难 以 发 现 。 


9.2.3 网 络 查 点 


网 络 查 点 是 攻击 者 常 采 用 的 从 目标 系统 中 抽取 有 效 账号 或 导出 资源 名 的 技术 。 通 常 这 
种 探测 方式 是 通过 主动 同 目标 系统 建立 连接 来 获取 信息 ,因此 这 种 探测 方式 在 本 质 上 要 比 
网 络 踩点 和 网 络 扫 描 更 具有 入 侵 效果 。 查 点 技术 通常 和 操作 系统 有 关 , 所 收集 的 信息 包括 
用 户 名 和 组 名 信息 .系统 类 型 信息 ,路 由 表 信 息 和 SNMP 信息 等 。 

综观 近年 来 比较 热门 的 攻击 事件 ,可 以 发 现 ,在 寻找 攻击 目标 的 过 程 中 ,以 下 手段 明显 
加 强 。 

(1) 通过 视频 文件 寻找 目标 主机 。 近 年 来 这 种 方法 逐渐 成 为 一 种 较为 流行 的 手段 。 攻 
击 者 首先 要 配置 木马 ,然后 制作 视频 木马 ,如 RM 木马 ,WMYV 木马 等 ,然后 通过 P2P 软件 、 
QQ 发 送 、 论 坛 等 渠道 进行 传播 ,用 户 很 难 察觉 。 

(2) 根据 漏洞 公告 寻找 目标 主机 。 目 前 一 些 网 络 安全 技术 网 站 经 常会 公布 一 些 知名 黑 
客 发 现 的 漏洞 ,从 远程 攻击 、 本 地 攻击 到 脚本 攻击 等 ,描述 十 分 详细 。 在 漏洞 补丁 未 发 布 前 ， 
这 些 攻击 说 明 可 能 会 进一步 加 大 网 络 安全 威胁 。 

(3) 利用 社会 心理 学 .社会 工程 学 获取 目标 主机 信息 。 比 如 ,通过 对 受害 者 心理 弱点 、 
本 能 反应 、 好 奇 心 . 信 任 、 贪 禁 等 心理 陷阱 进行 诸如 欺骗 ,伤害 等 危害 手段 ,取得 自身 利益 的 
手法 ,近年 来 已 呈 迅 速 上 升 甚至 滥用 的 趋势 。 


9.2.4 常见 的 扫描 工具 


著名 的 扫描 工具 包括 Nmap、PortScan 等 ,知名 的 安全 漏洞 扫描 工具 包括 开源 的 
Nessus 及 一 些 商 业 漏洞 扫描 产品 如 ISS 的 Scanner 系列 产品 。 

Nmap(Network Mapper) 是 Linux 下 的 网 络 扫 描 和 嗅 探 工 具 包 。 其 基本 功能 有 三 个 ， 
一 是 探测 一 组 主机 是 否 在 线 ; 二 是 扫描 主机 端口 , 嗅 探 所 提供 的 网 络 服务 ; 三 是 可 以 推断 
主机 所 用 的 操作 系统 。Nmap 可 用 于 扫描 仅 有 两 个 节点 的 LAN, 直 至 500 个 节点 以 上 的 网 
络 。Nmap 还 允许 用 户 定制 扫描 技巧 。 可 以 深入 探测 UDP 或 者 TCP 端口 ,直至 主机 所 使 
用 的 操作 系统 ; 还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 , 供 进 一 步 分 析 操 作 。 

Nmap 使 用 命令 方式 进行 扫描 ,支持 的 扫描 类 型 非常 丰富 ,例如 执行 SYN 扫描 时 的 命 
令 为 nmap-sS 192. 168. 1. 0/24。-sS 表明 扫描 类 型 ,192. 168. 1. 0/24 表明 扫描 的 目标 网 段 。 

PortScan 是 一 款 端 口 扫 描 的 小 工具 ,可 以 用 于 扫描 目的 主机 的 开放 端口 ,并 探测 目的 
主机 的 操作 系统 。 支 持 Edge、Wi-Fi 和 3G 网络, 其 运行 界面 如 图 9-2 所 示 。 
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图 9-2 PortScan 运行 界面 


PortScan 的 设置 和 使 用 都 非常 简单 ,参数 只 需 设 置 目标 主机 的 IP 地 址 ,扫描 的 起 止 端 
口号 等 参数 , 单 击 START 按钮 即 可 进行 扫描 。 

Nessus 被 认为 是 目前 使 用 最 广泛 的 系统 漏洞 扫描 与 分 析 软 件 之 一 。Nessus 采用 客 
户 / 服 务 器 体系 结构 ,客户 端 提供 了 运行 在 X Window 下 的 图 形 界面 ,接受 用 户 的 命令 与 服 
务 器 通信 ,传送 用 户 的 扫描 请 求 给 服务 器 端 ,由 服务 器 启动 扫描 并 将 扫描 结果 呈现 给 用 户 ; 
扫描 代码 与 漏洞 数据 相互 独立 ,Nessus 针对 每 一 个 漏洞 有 一 个 对 应 的 插件 ,漏洞 插件 是 用 
Nessus 攻击 脚本 语言 (Nessus Attack Scripting Language, NASL) 编 写 的 一 小 段 模 拟 攻 击 
漏洞 的 代码 ,这 种 利用 漏洞 插件 的 扫描 技术 极 大 地 方便 了 漏洞 数据 的 维护 、 更 新 ; Nessus 
具有 扫描 任意 端口 任意 服务 的 能 力 ; 以 用 户 指 定 的 格式 (ASCII 文本 、html 等) 产生 详细 的 
输出 报告 ,包括 目标 的 脆弱 点 ,怎样 修补 漏洞 以 防止 攻击 者 入 侵 及 危险 级 别 。 图 9-3 展示 了 
Nessus 客户 端的 运行 界面 。 

ISS Internet Scanner 是 ISS 公司 推出 的 商业 安全 扫描 产品 之 一 。 其 包括 三 个 组 件 : 


站 
息 安 全 概论 
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b Default scan 
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图 9-3 Nessus 客户 端 运行 界面 


Intranet Scanner,Firewall Scanner、Web Server Scanner, 可 以 对 UNIX 和 Windows NT 系 
统 的 网 络 通信 服务 .操作 系统 和 关键 应 用 程序 进行 有 计划 和 可 选择 的 检测 ,自动 扫描 所 连接 
的 主机 、 防 火 墙 、Web 服务 器 和 路 由 器 等 设备 ,生成 详细 的 技术 报告 或 高 度 概 括 的 管理 级 报 
,并 提供 软件 生产 商 修补 其 产品 安全 漏洞 的 补丁 程序 发 


告 ,协助 管理 人 员 进 行 网 络 安全 审计 


布 站 点 的 链接 。 图 9-4 展示 的 是 ISS Internet Scanner 的 运行 界面 。 
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9.3 ”网络 监听 


网 络 窃听 指 攻 击 者 通过 非法 手段 对 系统 活动 的 监视 从 而 获得 一 些 关 键 安 全 信息 的 技术 
手段 。 


9.3.1 网 络 监听 的 工作 原理 


由 于 以 太 网 等 许多 网 络 (例如 以 共享 Hub 连接 的 内 部 网 络 ) 是 基于 总 线 方式 , 即 多 台 主 
机 连接 在 一 条 共享 的 总 线 上 ,其 通信 方式 在 物理 上 采用 广播 的 方式 。 所 以 ,在 使 用 共享 总 线 
的 同一 网 段 中 ,所 有 主机 的 网 卡 都 能 接收 到 所 有 被 发 送 的 数据 包 。 而 对 于 使 用 交换 机 连接 
的 内 部 网 络 ,交换 机 只 会 把 数据 包 转 发 到 相应 的 端口 (根据 MAC 地 址 ) ,因此 网 卡 只 能 收 到 
发 往 本 地 主机 的 数据 和 广播 数据 。 

网 卡 收 到 传输 来 的 数据 ,网 卡 的 驱动 程序 先 接收 数据 头 的 目标 MAC 地 址 ,根据 主机 上 
的 网 卡 驱 动 程序 配置 的 接收 模式 判断 是 否 接收 。 在 默认 状态 下 网 卡 只 把 发 给 本 机 的 数据 包 
(包括 广播 数据 包 ) 传 递 给 上 层 程 序 , 其 他 的 数据 包 一 律 丢 奔 。 但 是 网 卡 可 以 设置 为 一 种 特 
殊 的 工作 方式 一 一 混杂 模式 (Promiscuous Mode) ,在 这 种 状态 下 ,网卡 将 把 接收 到 的 所 有 
数据 包 都 传递 给 上 层 程 序 ,这 时 ,上 层 应 用 程序 就 能 够 获取 本 网 段 内 发 往 其 他 主机 的 数据 
包 , 从 而 实现 了 对 网 络 数据 的 监听 。 能 实现 网 络 监听 的 软件 通常 被 称 为 嗅 探 (Sniffer) 工 具 。 


9.3.2 网 络 监听 技术 


根据 以 太 网 连接 方式 的 不 同 ,监听 技术 可 以 分 为 共享 环境 下 的 监听 和 交换 环境 下 的 
监听 。 

在 共享 环境 下 ,因为 所 有 数据 包 的 发 送 都 是 以 广播 的 形式 进行 ,因此 只 需 简单 地 将 网 卡 
设 为 混杂 模式 ,就 可 以 捕获 网 络 上 传输 的 所 有 数据 包 。 

在 交换 环境 下 ,因为 数据 包 的 发 送 是 由 交换 机 进行 定向 转发 ,因此 必须 扰乱 交换 机 的 定 
向 转发 机 制 ,将 本 该 发 往 其 他 主机 的 数据 包 转 发 到 本 地 主机 上 才能 实现 网 络 监听 。 这 种 情 
况 下 最 常见 的 手段 是 使 用 ARP 欺骗 的 手段 ,ARP 欺骗 攻击 的 基本 原理 是 ,主机 中 维护 着 一 
个 ARP 高 速 缓存 , 且 ARP 高 速 缓 存 是 随 着 主机 不 断 地 发 出 ARP 请 求 和 收 到 ARP 响应 而 
不 断 地 更 新 的 ,ARP 高 速 缓存 的 目的 是 把 机 器 的 IP 地 址 和 MAC 地 址 相互 映射 。 使 用 arp 
命令 可 以 查看 本 地 主机 的 ARP 高 速 缓存 。 

假设 主机 A 的 IP 地 址 为 10.0.0.2,MAC 地 址 为 20-53-52-43-00-02, 主 机 B 的 IP 地 址 
为 10. 0.0.3,MAC 地 址 为 20-53-52-43-00-03 ,机 器 C 的 IP 地 址 为 10. 0. 0. 4,MAC 地 址 为 
20-53-52-43-00-04。 

首先 主机 也 向 主机 A 发 出 一 个 ARP 应 答 (Reply) ,其 中 的 目的 IP 地 址 为 10.0.0.2, 目 
的 MAC 地 址 为 20-53-52-43-00-02 ,而 源 IP 地 址 为 10. 0. 0.4, 源 MAC 地 址 为 20-53-52-43- 
00-03 ,主机 A 会 更 新 本 地 的 ARP 高 速 缓存 ,记录 IP 地 址 为 10. 0.0.4 的 主机 的 MAC 地 址 
是 20-53-52-43-00-03。 此 后 主机 A 发 出 一 条 FTP 命令 时 一 一 ftp 10. 0. 0. 4, 数 据 包 被 送 到 
了 交换 机 ,交换 机 查看 数据 包 中 的 目的 地 址 ,发 现 MAC 为 20-53-52-43-00-03 ,于 是 交换 机 
把 数据 包 发 到 了 机 器 B 上 。 这 样 主机 也 就 成 功 获取 了 发 往 主机 C 的 数据 包 , 实 现 了 网 络 监 
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听 , 其 过 程 如 图 9-5 所 示 。 


主机 C 


10.0.0.4 
20-53-52-43-00-04 
O) 更 新 ARP 缓 存 
10.0.0.4 20-53-43-00-03 
ss 
主机 A 
10.0.0.2 


20-53-52-43-00-02 
图 9-5 ARP 欺骗 原理 


图 9-5 只 是 一 个 简单 的 ARP 欺骗 过 程 ,在 实际 的 攻击 中 ,攻击 者 往往 将 自己 的 主机 伪 
装 成 网 关 , 通 过 ARP 欺骗 将 数据 包 定 向 到 本 地 主机 ,然后 再 转发 到 真正 的 网 关 , 并 将 网 关 
返回 的 数据 包 发 送 给 对 应 的 主机 ,在 这 个 过 程 中 攻击 者 的 主机 成 为 网 络 通信 的 “中 间 人 ”, 由 
于 通信 过 程 表面 上 看 是 正常 的 ,被 监听 主机 很 难 发 现 攻 击 行为 的 存在 。 


9.3.3 网 络 监听 的 检测 和 防范 


网 络 监听 是 很 难 被 发 现 的 ,因为 运行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 
的 信息 ,不 主动 地 与 其 他 主机 交换 信息 ,也 没有 修改 在 网 上 传输 的 数据 包 。 

网 络 监听 的 基本 检测 方法 主要 有 : 

(1) 用 正确 的 IP 地址 和 错误 的 MAC 地 址 Ping 可 疑 的 主机 ,运行 监听 程序 的 主机 可 能 
会 有 响应 。 这 是 因为 正常 的 主机 不 接收 错误 的 MAC 地 址 ,而 处 理 监听 状态 的 主机 能 接收 
并 可 能 响应 。 

(2) 向 网 上 发 大 量 不 存在 的 MAC 地址 的 包 , 由 于 监听 程序 要 分 析 和 处 理 大 量 的 数据 
包 会 占用 很 多 的 CPU 资源 ,这 将 导致 性 能 下 降 。 通 过 比较 前 后 该 主机 性 能 加 以 判断 。 这 
种 方法 需要 获取 主机 的 实时 运行 状态 ,因此 难度 较 大 。 

(3) 使 用 反 监 听 工 具 如 Antisniffer、TripWare 等 检测 工具 进行 检测 ,这 些 软件 主要 通 
过 分 析 网 络 异 常 来 判断 是 否 存在 嗅 探 器 ,往往 对 使 用 者 有 比较 高 的 要 求 。 

由 于 网 络 监听 的 检测 比较 困难 ,应 对 网 络 监听 主要 以 防范 为 主 ,主要 技术 措施 包括 : 

(1) 从 逻辑 或 物理 上 对 网 络 分 段 。 网 络 分 段 通常 被 认为 是 控制 网 络 广 播 风 暴 的 一 种 基 
本 手段 ,但 其 实 也 是 保证 网 络 安 全 的 一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资 源 相 
互 隔离 ,从 而 防止 可 能 的 非法 监听 。 

(2) 以 交换 式 集线器 代替 共享 式 集线器 。 共 享 环境 下 的 网 络 监听 是 最 容易 实现 的 ,所 
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以 应 该 以 交换 式 集线器 代 蔡 共享 式 集线器 ,使 单 播 包 仅 在 两 个 节点 之 间 传 送 ,从 而 降低 网 络 
监听 的 风险 。 

(3) 使 用 加 密 技 术 。 数 据 经 过 加 密 后 ,通过 监听 仍然 可 以 得 到 传送 的 信息 ,但 监听 者 不 
能 获取 原始 数据 ,这 是 从 根本 上 解决 网 络 监听 的 途径 。 使 用 加 密 技 术 的 主要 缺点 是 影响 数 
据 传输 速度 。 因 此 往往 需要 在 传输 速度 和 安全 性 上 进行 折 中 。 

(4) 划分 虚拟 局 域 网 (VLAN)。 运 用 VLAN 技术 ,将 以 太 网 通信 变 为 点 到 点 通信 ,可 
以 防止 大 部 分 基于 网 络 监 听 的 入 侵 。 


9.3.4 常见 的 网 络 监听 工具 


目前 常见 的 网 络 监听 工具 包括 Sniffer Pro、 Ethereal、 Libpcap/WinPcap、TCPdump/ 
Windump \Iris 等 。 

Sniffer Pro 是 NAI 公司 推出 的 一 款 协议 分 析 软 件 , 具 有 捕获 网 络 流量 进行 详细 分 析 、 
利用 专家 分 析 系 统 诊断 问题、 实时 监控 网 络 活动 ,收集 网 络 利用 率 和 错误 等 功能 。 以 下 以 
Sniffer Pro 为 例 , 简 要 介绍 网 络 监听 软件 的 使 用 方法 。 

在 使 用 前 要 首先 确定 使 用 的 网 络 适配器 及 选择 要 工作 在 混杂 模式 下 的 网 卡 , 特 别 是 在 
主机 中 存在 多 块 网 卡 情况 时 ,如 图 9-6 所 示 。 


Select Settings | 


Select settings for monitoring: 
Local 
WD Realtek BTL8168C (P)/8111C G) 


图 9-6 Sniffer Pro 网 络 适配器 选择 


然后 就 可 以 通过 主 菜单 中 的 Capture 习 Define Filter 命令 设置 捕获 条 件 ,包括 需要 捕获 
主机 的 IP 地 址 范围 ,需要 捕获 的 协议 等 ,如 图 9-7 所 示 。 


Summary Mdress |Data Pattern| Mvanced| 
Address Known Address: Dragsble) 


Any 
Broadeast/Nulticast Address 


取消 | Profiles... 
图 9-7 Sniffer Pro 工作 参数 配置 
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在 完成 工作 参数 设置 后 ,启动 Sniffer Pro 就 可 以 进入 网 络 数据 包 捕 获 状态 ,其 工作 状 
态 可 以 在 主 界面 上 实时 显示 ,如 图 9-8 所 示 。 


EYE 
»| ul ltl S| Bos 可 
号 | 日 | | 全 | S| 开 | 妆 || 要 | 总 |@| 多 | 大 | 中 | 名 | 


9-8 ”Sniffer Pro 实时 工作 状态 


Sniffer Pro 还 提供 很 强 的 协议 分 析 功 能 ,通过 其 内 置 的 专家 分 析 系 统 , 可 以 详细 地 展示 
捕获 到 数据 包 的 完整 会 话 过 程 ,以 及 不 同 协议 的 封包 格式 和 数据 载荷 ,如 图 9-9 所 示 。 


【234.34.23.234] 
DP =33674 Se5772! =28 
[234 .34.23.234] 
UDP: De33674 S3509 TEN=26 
二 rr cc| TCP: D=80 S*1053 FIN ACK=47710497 SEQ=494803036 LEN=0 WIN=64756 
cc| TCP: D=80 S=1053 FIN ACK=47710497 SEQ=494803036 LEN=0 WIN=64756 


| 
2s 和 名 28 

UDP: D=1900 Se1025 LEN*290 
[239.255.255. 2¢| 

TIDP. De19NN SeiN25 TEN=ANA 


Source port = 1091 
Destination port = 443 (Https) 
Initial sequence nunber = 153299924 


Next expected Seq nunber 
Data offset 32 bytes 
: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
= 02 
0 = (No urgent pointer) 


153299925 


ee D0 2 He dT eh 0 00 te 0m 村 
02 1 45 0 40 06 0 00 0 £8 01 bt ha 7d -419-0 括 . 锋 } 
04 43 01 bb 09 23 2b d4 00 00 00 00 80 02 Ge.C.?#+7,. .1 

0 B472°00 00 02 04 05 b4 01 03 03 02 01 01 -Tr 


图 9-9 Sniffer Pro 网 络 数据 包 分 析 界 面 


9.4 ”网 络 欺骗 


常见 的 网 络 欺骗 包括 IP 源 地 址 欺骗 .DNS 欺骗 和 源 路 由 选择 欺骗。 
9.4.1 1IP 源 地 址 欺骗 


IP 源 地 址 欺骗 就 是 伪造 某 台 主 机 的 IP 地 址 的 技术 。 通 过 IP 地 址 的 伪造 使 得 某 台 主 
机 能 够 伪装 成 另外 一 台 主 机 ,而 这 人 台 主 机 往往 具有 某 种 特权 或 者 被 另外 的 主机 所 信任 。 

假设 已 经 找到 一 个 攻击 目标 主机 ,并 发 现 了 该 主机 存在 信任 模式 ,又 获得 受信 任 主机 
IP。 攻 击 者 如 果 简 单 使 用 IP 地 址 伪造 技术 ,伪装 成 受信 任 主机 向 目标 主机 发 送 连接 请 求 ， 
按 TCP/IP 三 次 握手 的 过 程 , 目 标 主机 将 发 送 确认 信息 给 受信 任 主机 ,如 果 受 信任 主机 发 现 
连接 是 非法 的 ,信任 主机 会 发 送 一 个 复位 信息 给 目标 主机 ,请 求 释放 连接 ,这 样 IP 欺骗 将 无 
法 进行 。 因 此 ,攻击 者 为 达到 欺骗 的 目的 ,通常 先 使 用 如 TCP SYN 泛 洪 攻击 等 技术 使 受信 
任 主机 丧失 工作 能 力 。 受 信任 主机 不 能 发 送 复位 信息 ,目标 主机 也 不 会 收 到 连接 确认 ,根据 
TCP 协议 会 认为 是 一 种 暂时 的 网 络 通信 错误 ,目标 主机 会 认为 对 方 将 继续 尝试 建立 连接 ， 
直至 确信 无 法 连接 (出 现 连 接 超时 )。 在 这 段 时 间 里 ,攻击 者 可 使 用 序列 号 猜测 技术 猜测 出 
目标 主机 希望 获取 的 确认 序列 号 ,再 次 伪装 成 信任 主机 发 送 连接 确认 信息 ,确认 包 的 序列 号 
设置 为 猜测 得 出 的 序列 号 ,如 果 猜 测 正确 就 可 以 与 目标 主机 建立 起 TCP 连接 。 一 旦 连接 建 
立 ,攻击 者 就 可 以 向 目标 主机 发 送 攻击 数据 ,如 放置 后 门 程序 等 。 

通过 以 上 的 分 析 可 知 ,IP 源 地 址 欺骗 过 程 主 要 包含 五 个 步骤 : 四 选 定 目标 主机 A; 
加 发现 信任 模式 及 受信 任 主机 B; @ 使 主机 B 丧失 工作 能 力 ; @ 伪 装 成 主机 B 向 主机 A 发 
送 建立 TCP 连接 请 求 , 并 猜测 主机 A 希望 的 确认 序列 号 ; @ 用 猜测 的 确认 序列 号 发 送 确认 
信息 ,建立 连接 。 

IP 源 地 址 欺骗 存在 的 主要 原因 是 某 些 应 用 中 的 信任 关系 是 建立 在 IP 地 址 的 验证 上 ， 
而 数据 包 中 IP 的 地 址 是 可 以 很 容易 伪造 的 。IP 源 地 址 欺骗 攻击 过 程 中 难度 最 大 的 是 序列 
号 估计 ,估计 精度 的 高 低 是 欺骗 成 功 与 否 的 关键 。 针 对 这 样 的 特点 ,防范 IP 源 地 址 欺骗 可 
采取 如 下 对 策 。 

(1) 不 使 用 基于 地 址 的 信任 策略 。 阻 止 这 类 攻击 的 简单 办 法 是 放弃 以 地 址 为 基础 的 验 
证 。 如 在 UNIX 操作 系统 中 不 允许 R 类 远程 调用 命令 的 使 用 ,删除 rhosts 文件 和 /etc/ 
hosts. equiv 文件 ,要 求 所 有 用 户 使 用 其 他 更 为 安全 的 远程 通信 手段 ,如 SSH 等 。 

(2) 使 用 包 过 滤 。 如 果 内 部 网 络 是 通过 路 由 器 接 入 外 部 网 络 的 ,那么 可 以 利用 边界 路 
由 器 来 进行 包 过 滤 。 确 信和 只 有 内 部 网 络 中 可 以 使 用 IP 信任 关系 , 当 路 由 器 发 现 来 自 外 部 网 
络 的 数据 包 的 源 地 址 和 目的 地 址 都 是 内 部 网 络 的 IP 地 址 就 意味 着 有 人 要 试图 使 用 IP 源 地 
址 欺骗 的 方式 攻击 系统 。 使 用 这 种 方法 的 影响 是 ,如 果 外 部 网 络 存在 受信 任 主机 , 包 过 滤 将 
不 能 防范 攻击 者 伪装 成 外 部 网 络 中 的 受信 任 主机 实施 欺骗 。 

(3) 使 用 加 密 机 制 。 阻 止 IP 欺骗 的 另 一 种 可 行 的 方法 是 在 通信 时 要 求 加 密 传输 和 验 
证 。 例 如 对 发 送 的 数据 包 进 行 数字 签名 ,使 用 伪造 IP 地 址 的 方法 就 无 法 对 目标 主机 实施 欺 
骗 了 。 
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9.4.2 DNS 欺骗 


域名 系统 (Domain Name System,DNS) 可 以 理解 为 一 个 用 于 管理 域名 地 址 和 IP 地 址 
信息 映射 的 分 布 式 数据 库 系 统 , 其 功能 是 将 容易 记忆 的 域名 同 抽象 的 IP 地 址 关联 起 来 ,以 
方便 用 户 的 使 用 。 例 如 访问 新 浪 的 网 站 “http://www. sina. com. cn”, 首 先 需要 通过 DNS 
服务 将 其 翻译 成 形 如 “202. 108. 33. 60” 的 IP 地 址 ,才能 访问 到 正确 的 新 浪 服务 器 。 如 果 翻 
译 过 程 出 现 错误 ,用户 访问 的 将 不 是 新 浪 服务 器 ,而 很 可 能 是 攻击 者 精心 设计 的 陷阱 主机 。 

DNS 服务 是 大 多 数 网 络 应 用 的 基础 ,但 因 其 协议 本 身 设计 存在 安全 缺陷 (没有 提供 适 
当 的 信息 保护 和 认证 机 制 ) ,使 得 DNS 易 受 攻击 。 在 DNS 报 文中 只 使 用 一 个 序列 号 来 进 
行 有 效 性 鉴别 ,未 提供 其 他 的 认证 和 保护 手段 ,这 使 得 攻击 者 可 以 很 容易 地 监听 到 查询 请 
求 ,并 伪造 DNS 应 答 包 给 请 求 DNS 服务 的 客户 端 ,从 而 进行 DNS 欺骗 攻击 。 

目前 所 有 DNS 客户 端 处 理 DNS 应 答 包 的 方法 都 是 简单 地 信任 首先 到 达 的 数据 包 , 丢 
弃 所 有 后 到 达 的 ,而 不 会 对 数据 包 的 合法 性 作 任 何 的 分 析 。 这 样 只 要 能 保证 欺骗 包 先 于 合 
法 包 到 达 就 可 以 达到 欺骗 的 目的 。 

对 于 DNS 欺骗 攻击 的 防范 通常 采用 异常 检测 的 方法 ,通过 对 合法 应 答 包 和 欺骗 应 答 
包 的 分 析 可 以 发 现 ,欺骗 应 答 包 一 般 来 说 比较 简单 ,通常 只 有 一 个 应 答 域 ,而 不 包含 授权 
域 和 附加 域 。 这 符合 欺骗 攻击 者 要 尽快 将 欺骗 数据 包 返 回 给 客户 端的 目的 ,因为 只 有 尽 
可 能 地 节约 数据 包 构 造 的 时 间 才 能 使 欺骗 包 早 于 合法 包 到 达 。 通 常 合法 应 答 包 的 信息 
比较 丰富 ,除了 可 能 有 多 个 应 答 域 之 外 ,通常 还 带 有 授权 域 . 附 加 记录 域 等 。 如 果 根 据 一 
定 的 规则 ,能够 区 分 开 欺 骗 包 和 合法 包 ,就 可 以 防范 DNS 欺骗 攻击 ,常见 的 方法 包括 以 下 
几 种 。 

(1) 加 权 法 : 这 种 方法 首先 要 根据 统计 分 析 , 给 出 DNS 应 答 包 中 的 各 个 字段 一 个 相应 
的 可 信 度 阔 值 ,然后 根据 数据 包 情 况 计 算 最 终 可 信和 度 , 最 后 选择 可 信 度 最 高 的 应 答 包 。 

(2) 贝 叶 斯 分 类 法 : 这 种 方法 利用 模式 分 类 的 思想 ,设计 一 个 两 类 贝 叶 斯 分 类 器 来 区 
分 合法 和 欺骗 包 。 首 先 根据 统计 信息 抽取 合法 包 和 欺骗 包 的 特征 ,然后 统计 这 些 特征 的 概 
率 分 布 , 并 据 此 设计 一 个 简单 的 两 类 贝 叶 斯 分 类 器 ,用 于 欺骗 包 和 合法 包 的 识别 。 

(3) 交叉 验证 法 : 这 种 方法 是 由 客户 端 收 到 DNS 应 答 包 之 后 ,向 DNS 服务 器 反 向 查询 
应 答 包 中 返回 的 IP 地 址 所 对 应 的 DNS 名 字 来 进行 判断 。 


9.4.3 源 路 由 选择 欺骗 


在 通常 的 TCP 数据 包 中 只 包括 源 地 址 和 目的 地 址 , 即 路 由 只 需 知 道 一 个 数据 包 是 从 哪 
来 的 要 到 哪 去 。 源 路 由 是 指 在 数据 包 首部 中 列 出 了 所 要 经 过 的 路 由 。 某 些 路 由 器 对 源 路 由 
包 的 反应 是 使 用 其 指定 的 路 由 ,并 使 用 其 反 向 路 由 来 传送 应 答 数 据 。 这 种 攻击 称 为 源 路 由 
选择 欺骗 (Source Routing Spoofing)。 

假定 主机 A 和 主机 B 之 间 存 在 某 种 信任 关系 ,主机 X 想 伪 装 成 主机 A 从 主机 B( 假 设 
IP 为 10. 0. 0.2) 获 得 某 些 服务 。 首 先 ,攻击 者 修改 距 X 最 近 的 路 由 器 ,使 得 到 达 此 路 由 器 
且 包 含 主机 B 目的 地 址 (10. 0. 0. 2) 的 数据 包 以 主机 X 所 在 的 网 络 为 目的 地 ; 然后 ,攻击 者 
X 利用 IP 欺骗 向 主机 B 发 送 源 路 由 (指定 距 主机 X 最 近 的 路 由 器 ) 数 据 包 。 当 主机 B 回 送 
数据 包 时 ,就 传送 到 被 攻击 者 更 改过 的 路 由 器 。 这 就 使 得 攻击 者 可 以 假冒 一 个 主机 的 名 义 
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通过 一 个 特殊 的 路 径 来 获得 某 些 被 保护 数据 。 

解决 源 路 由 选择 欺骗 的 防范 包括 两 方面 : 首先 攻击 者 需要 对 目标 主机 实施 IP 源 地 址 
欺骗 ,因此 只 要 杜绝 了 IP 源 地址 欺骗 ,就 可 防范 此 类 攻击 ; 其 次 攻击 者 需要 使 用 路 由 器 的 
源 路 由 功能 ,只 需 简单 关闭 该 功能 就 可 以 彻底 消除 源 路 由 选择 欺骗 。 


9.5 拒绝 服务 攻击 


拒绝 服务 攻击 即 攻击 者 设法 使 目标 主机 停止 提供 服务 ,是 常见 的 一 种 网 络 攻击 手段 。 
其 实 主要 原理 是 利用 网 络 协议 的 缺陷 ,采用 耗 尽 目标 主机 的 通信 、 存 储 或 计算 资源 的 方式 来 
迫使 目标 主机 暂停 服务 甚至 导致 系统 崩溃 。 拒 绝 服务 攻击 可 以 分 为 拒绝 服务 攻击 (Denial 
of Service,DoS) 和 分 布 式 拒绝 服务 攻击 (Distributed Denial of Service, DDoS)。 


9.5.1 常见 的 拒绝 服务 攻击 

常见 的 DoS 攻击 包括 以 下 几 种 类 型 。 

1. SYN 泛 洪 

SYN 泛 洪 (Flooding) 是 目前 最 流行 的 拒绝 服务 攻击 之 一 ,这 种 攻击 利用 TCP 缺陷 ,发 
送 大 量 伪造 的 TCP 连接 请 求 ,使 被 攻击 主机 的 资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) ,而 停止 
服务 ,其 攻击 过 程 如 图 9-10 所 示 。 


(D) 伪造 IP 发 送 大 量 SYN 靖 
(2) 响应 ACK/SYN 
(9) 无 应 答 等 待 ， 直 至 耗 尽 资源 


攻击 者 主机 攻击 对 象 
图 9-10 ”SYN 泛 洪 攻击 


2. UDP 泛 洪 

攻击 者 利用 简单 的 TCP/IP 服务 ,如 字符 发 生 器 协议 (Chargen) 和 Echo 来 传送 占 满 带 
宽 的 垃圾 数据 。 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 ,回复 地 址 指 
向 开 着 Echo 服务 的 一 台 主 机 ,这 样 就 在 两 台 主 机 之 间 存 在 很 多 的 无 用 数据 流 , 这 些 无 用 数 
据 流 就 会 导致 针对 带宽 服务 的 攻击 。 

3. Ping 泛 洪 

由 于 在 早期 的 阶段 ,路 由 器 对 包 的 最 大 尺寸 都 有 限制 ,许多 操作 系统 对 TCP/IP 堆栈 的 
实现 在 ICMP 包 上 都 是 规定 64KB, 并 且 在 对 包 的 标题 头 进行 读 取 之 后 ,要 根据 该 标题 头 里 
包含 的 信息 来 为 有 效 载荷 生成 缓冲 区 。 当 产生 畸形 的 ,声称 自己 的 尺寸 超过 ICMP 上 限 的 
包 , 也 就 是 加 载 的 尺寸 超过 64KB 上 限时 ,就 会 出 现 内 存 分 配 错误 ,导致 TCP/IP 堆栈 崩溃 ， 
致使 接受 方 主机 宕 机 。 

4. 泪 滴 攻 击 

泪 滴 (teardrop) 攻 击 是 利用 在 TCP/IP 堆栈 中 实现 信任 IP 碎片 中 的 包 的 标题 头 所 包含 
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的 信息 来 实现 自己 的 攻击 。IP 分 段 含有 指明 该 分 段 所 包含 的 是 原 包 的 哪 一 段 的 信息 , 某 些 
TCP/IP( 包 括 Service Pack 4 以 前 的 Windows NT) 在 收 到 含有 重 琶 偏 移 的 伪造 分 段 时 将 
骨 溃 。 

5. Land 攻击 


Land 攻击 原理 是 设计 一 个 特殊 的 SYN 包 , 它 的 源 地 址 和 目标 地 址 都 被 设置 成 某 一 个 
服务 器 地 址 。 此 举 将 导致 接收 服务 器 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ,结果 这 个 地 址 
又 发 回 ACK 消息 并 创建 一 个 空 连接 。 被 攻击 的 服务 器 每 接收 一 个 这 样 的 连接 都 将 保留 ， 
直到 超时 。 不 同 的 操作 系统 对 Land 攻击 的 反应 不 同 ,大 多 数 UNIX 系统 将 崩溃 ， 
Windows NT 则 变 得 极其 缓慢 (大 约 持续 5 分 钟 ) 。 

6. Smurf 攻击 

Smurf 攻击 的 命名 是 因为 第 一 个 实现 该 类 型 攻击 的 软件 名 为 Smurf, 其 原理 是 : 通过 向 
一 个 局 域 网 的 广播 地 址 发 出 ICMP 回应 请 求 (Echo Request) ,并 将 请 求 的 返回 地 址 设 为 被 
攻击 的 目标 主机 ,导致 目标 主机 被 大 量 的 应 答 包 (Echo Reply) 淹 没 ,最 终 导致 目标 主机 崩 
溃 。 在 这 种 攻击 方式 中 ,攻击 者 不 直接 向 目标 主机 发 送 任何 数据 包 , 而 是 引导 大 量 的 数据 包 
发 往 目的 主机 ,因此 也 被 称 为 “反弹 攻击 ”, 其 攻击 过 程 如 图 9-11 所 示 。 


(2) 响应 Echo Request， 发 送 Echo Reply 
2 和 


攻击 者 主机 


(1) 伪造 源 地 址 为 目标 主机 ， 目 的 
地 址 为 广播 地 址 的 Echo Request 


6) 大 最 的 Echo Reply 将 目标 主机 泡 没 
目标 主机 


图 9-11 Smurf 攻击 过 程 示意 


9.5.2 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 攻击 (DDoS) 是 在 传统 的 DoS 攻击 方式 上 衍生 出 的 新 攻击 手段 。 
DDoS 攻击 指 借助 于 客户 /服务 器 技术 ,将 多 台 主 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 
目标 发 动 DoS 攻击 ,从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 通 常 ,攻击 者 使 用 一 个 主 控 程 
序 控制 预先 被 植 和 人 到 大 量 倪 偶 主机 中 的 代理 程序 。 代 理 程序 收 到 特定 指令 时 就 同时 发 动 攻 
击 。 利 用 客户 /服务 器 技术 , 主 控 程序 能 在 几 秒 钟 内 激活 成 百 上 千 次 代理 程序 的 运行 ,因此 
能 够 产生 比 DoS 攻击 更 大 的 危害 后 果 ,其 攻击 过 程 如 图 9-12 所 示 。 


攻击 者 主机 
(1) 下 达 攻 击 指令 


攻击 主 控 机 


代理 主机 代理 主机 代理 主机 代理 主机 
(使 偶 主 机 ) 。“( 仇 候 主 机 ) ( 仇 偏 主机 ) 。”( 仇 偏 主机 ) 


(3) 实施 攻击 


目标 主机 
图 9-12 DDoS 攻击 示意 


9.5.3 拒绝 服务 攻击 的 防范 


目前 防范 DoS/DDoS 攻击 的 方法 主要 是 从 主机 设置 和 网 络 设备 设置 两 方面 来 考虑 。 

1. 主机 设置 

大 多 数 主机 的 操作 系统 都 提供 了 一 些 抵御 DoS/DDoS 的 基本 设置 ,主要 包括 : 关闭 
不 必要 的 服务 ; 加 限制 同时 打开 的 SYN 半 连 接 数目 ; 加 缩短 SYN 半 连 接 的 超时 等 待 
(Time Out) 时 间 。 

除 此 之 外 ,及 时 更 新 系统 补丁 也 非常 重要 ,例如 泪 滴 攻 击 主要 是 由 于 在 早期 操作 系统 的 
TCP/IP 协议 栈 实 现 过 程 中 ,未 对 IP 包 进 行 合 法 性 检查 而 直接 处 理 造成 的 ,经 过 升级 后 就 
能 防范 类 似 的 攻击 。 

2. 网 络 设备 设置 

网 络 设 备 设置 包括 防火 墙 和 路 由 器 两 方面 。 

防火 墙 的 设置 主要 包括 : 

(1) 禁止 对 主机 的 非 开 放 服 务 的 访问 。 

(2) 限制 同时 打开 的 SYN 最 大 连接 数 。 

(3) 限制 特定 IP 地 址 的 访问 。 

(4) 启用 防火 墙 的 DoS/DDoS 的 属性 。 

(5) 严格 限制 对 外 开放 的 服务 器 的 向 外 访问 ,这 主要 是 防止 服务 器 被 攻击 者 利用 。 

路 由 器 的 设置 主要 包括 : 

(1) 使 用 扩展 访问 列表 。 扩 展 访问 列表 是 防止 DoS/DDoS 攻击 的 有 效 工 具 。 它 既 可 以 
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用 来 探测 DoS/DDoS 攻击 的 类 型 ,也 可 以 阻止 DoS/DDoS 攻击 。 如 Cisco 路 由 器 的 命令 : 
Show IP access-list ,能 够 显示 每 个 扩展 访问 列表 的 匹配 数据 包 ,根据 数 据 包 的 类 型 ,用 户 就 
可 以 确定 DoS/DDoS 攻击 的 种 类 。 如 果 网 络 中 出 现 了 大 量 建立 TCP 连接 的 请 求 , 这 表明 
网 络 受到 了 SYN Flood 攻击 ,这 时 用 户 就 可 以 改变 访问 列表 的 配置 ,阻止 DoS/DDoS 攻击 。 

(2) 使 用 QoS。 使 用 QoS 特征 ,如 加 权 公 平 队 列 (WFQ) 、 承 诺 访 问 速 率 (CAR) ,一般 
流量 整形 (GTS) 以 及 定制 队列 (CQ) 等 ,都 可 以 一 定 程度 上 阻止 DoS/DDoS 攻击 。 

(3) 使 用 单一 地 址 逆向 转发 。 首 向 转发 (RPF) 是 路 由 器 的 一 个 输入 功能 ,该 功能 用 来 
检查 路 由 器 接口 所 接收 的 每 一 个 数据 包 。 如 果 路 由 器 接收 到 一 个 源 IP 地 址 为 10. 10. 10. 1 
的 数据 包 , 但 是 路 由 表 中 没有 为 该 IP 地 址 提供 任何 路 由 信息 ,路 由 器 就 会 丢弃 该 数据 包 , 因 
此 道 向 转发 能 够 阻止 Smurf 攻击 和 其 他 基于 IP 地 址 伪装 的 攻击 。 

(4) 使 用 TCP 拦截 。Cisco 公司 的 路 由 器 在 IOS 11. 3 版 以 后 ,引入 了 TCP 拦截 功能 ， 
这 项 功能 可 以 有 效 防 止 SYN Flood 攻击 内 部 主机 。 

(5) 使 用 基于 内 容 的 访问 控制 。 基 于 内 容 的 访问 控制 (CBAC) 是 对 传统 访问 列表 的 扩 
展 , 它 基于 应 用 层 会 话 信 息 , 智 能 化 地 过 滤 TCP 和 UDP 数据 包 , 可 以 防止 DoS/DDoS 攻击 。 

由 于 DoS/DDoS 通常 利用 的 是 网 络 协议 (如 TCP/IP) 中 的 缺陷 , 想 要 完全 避免 除非 消 
除 所 有 协议 中 的 缺陷 ,在 现 阶段 这 种 方式 是 不 现实 的 。 使 用 上 述 的 方法 并 不 能 完全 避免 
DoS/DDoS 攻击 ,但 能 起 到 一 定 的 缓解 和 预防 作用 。 


9.6 缓冲 区 溢出 攻击 


缓冲 区 溢出 攻击 (Buffer Overflow) 是 利用 缓冲 区 溢出 漏洞 所 进行 的 攻击 行动 。 缓 冲 区 
溢出 是 一 种 非常 普遍 ,非常 危险 的 漏洞 ,在 各 种 操作 系统 .应 用 软件 中 广泛 存在 。 利 用 缓冲 
区 溢出 攻击 ,可 以 导致 程序 运行 失败 .系统 关机 、 重 新 启动 等 后 果 ,精心 设计 的 缓冲 区 溢出 攻 
击 甚至 可 以 利用 它 执行 非 授权 指令 ,甚至 可 以 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 


9.6.1 缓冲 区 溢出 的 基本 原理 


缓冲 区 溢出 的 基本 原理 是 : 攻击 者 通过 向 目标 程序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造 
成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 
成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 检查 用 户 输入 的 参数 。 例 如 下 面 的 程序 : 

void function(char * in) 

‘ 

char buffer[128]; 


strcpy(buffer, in); 
} 


在 这 个 简单 的 函数 中 ,函数 strcpy() 将 直接 把 输入 的 字符 串 in 中 的 内 容 复制 到 buffer 
中 。 程 序 在 进行 函数 调用 时 ,首先 按 顺序 将 函数 参数 、 返 回 地 址 、 框 架 指针 (ESP,EBP)、 局 
部 变量 等 数据 压 人 堆栈 ,如 图 9-13 所 示 。 

如 果 输 入 in 的 长 度 大 于 128 ,就 会 造成 缓冲 区 溢出 , 即 输入 数据 覆盖 了 程序 的 正确 返回 
地 址 ,造成 程序 运行 出 错 。 存 在 像 strcpy 这 样 的 问题 的 标准 函数 还 有 strcat() 、sprintf()、 
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正常 发 生 


枝 顶 _ 栈 顶 _ 
局 部 变量 
框架 指针 
返回 地 址 


栈 底 3 栈 底 


区 杞 输入 的 数据 
9-13 缓冲 区 溢出 示意 


vsprintf() ,gets() .scanf() 等 。 

通常 情况 下 攻击 者 往 缓冲 区 中 填 过 多 的 数据 造成 溢出 只 会 出 现 分 段 错误 (Segmentation 
Fault) ,而 不 能 达到 控制 目标 主机 的 目的 。 常 见 的 手段 是 通过 制造 缓冲 区 溢出 使 程序 转 而 
执行 攻击 者 通过 缓冲 区 溢出 植 信 内存 中 的 特殊 指令 ,如 果 该 受到 溢出 攻击 的 程序 具有 管理 
权限 的 话 ,攻击 者 可 以 很 容易 地 获得 一 个 有 管理 员 权 限 的 shell, 从 而 实现 对 目标 主机 的 
控制 。 

在 程序 设计 过 程 中 ,未 对 输入 数据 的 合法 性 (如 长 度 ) 进 行 认 真 检查 是 导致 缓冲 区 溢出 
存在 的 重要 原因 。 缓 冲 区 溢出 漏洞 在 很 多 软件 中 都 存在 ,根据 计算 机 应 急 响 应 小 组 
(CERT) 的 统计 ,超过 50% 的 安全 漏洞 都 是 缓冲 区 溢出 造成 的 ,“ 红 色 代 码 ”“ 冲 击 波 ”、 
“Slammer 蠕虫 ”等 恶意 代码 均 是 利用 不 同 的 缓冲 区 溢出 漏洞 进行 传播 和 实施 攻击 的 。 


9.6.2 缓冲 区 溢出 的 防范 


对 缓冲 区 溢出 攻击 的 防范 ,目前 有 三 种 直接 的 保护 方法 : 

(1) 通过 操作 系统 控制 使 接收 输入 数据 的 缓冲 区 不 可 执行 ,从 而 阻止 攻击 者 植 入 攻击 
代码 。 

(2) 要 求 程序 员 编 写 正确 的 代码 ,包括 严格 检查 数据 ,不 使 用 存在 溢出 风险 的 函数 , 利 
用 Fault Injection 等 工具 进行 代码 检查 等 。 

(3) 利用 编译 器 的 边界 检查 来 实现 缓冲 区 的 保护 ,这 个 方法 使 得 缓冲 区 溢出 不 可 能 出 
现 ,从 而 完全 消除 了 缓冲 区 溢出 的 威胁 .但 是 相对 而 言 代价 比较 大 。 


9.7 SQL 注入 攻击 


结构 化 查询 语言 (Structured Query Language, SQL) 是 一 种 用 来 和 数据 库 交 互 的 文本 
语言 ,SQL 注入 攻击 (SQL Injection) 就 是 利用 某 些 数据 库 的 外 部 接口 把 用 户 数据 插入 到 实 
际 的 数据 库 操作 语言 当中 ,从 而 达到 入 侵 数 据 库 乃 至 操作 系统 的 目的 。 蚌 攻击 者 对 数据 库 
进行 攻击 的 常用 手段 之 一 。 部 分 程序 员 在 编写 代码 的 时 候 , 没 有 对 用 户 输 入 数据 的 合法 性 
进行 判断 ,使 应 用 程序 存在 安全 隐患 。 攻 击 者 可 以 提交 一 段 数据 库 查询 代码 ,根据 程序 返回 
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的 结果 ,获得 某 些 想 得 知 的 数据 ,这 就 是 所 谓 的 SQL 注入 攻击 。 
9.7.1 SOL 注入 攻击 的 原理 


SQL 注入 攻击 主要 是 通过 构建 特殊 的 输入 ,这 些 输 入 往往 是 SQL 语法 中 的 一 些 组 合 ， 
这 些 输入 将 作为 参数 传人 Web 应 用 程序 ,通过 执行 SQL 语句 而 执行 人 侵 者 想 要 的 操作 。 
下 面 以 登录 验证 中 的 模块 为 例 ,说 明 SQL 注入 攻击 的 实现 方法 。 

在 Web 应 用 程序 的 登录 验证 程序 中 ,一 般 有 用 户 名 (username) 和 密码 (password) 两 个 
参数 ,程序 会 通过 用 户 所 提交 输入 的 用 户 名 和 密码 来 执行 授权 操作 。 其 原理 是 通过 查找 
user 表 中 的 用 户 名 (username) 和 密码 (password) 的 结果 来 进行 授权 访问 。 典 型 的 SQL 查 
询 语句 为 : 


Select * from users where username = 'Bob'and password = 'helloworld' 


如 果 分 别 给 username 和 password 赋值 “admin” or 1 二 1 一 ”" 和 “aaa”。 那 么 ,SQL 脚 
本 解释 器 中 的 上 述 语句 就 会 变 为 : 


select * from users where username = 'admin' or 1 = 1 一 and password = 'aaa' 


该 语句 中 进行 了 两 个 判断 ,只 要 一 个 条 件 成 立 , 则 就 会 执行 成 功 ,而 1=1 在 逻辑 判断 上 
是 恒 成 立 的 ,后 面 的 “一 ”表示 注释 , 即 后 面 所 有 的 语句 为 注释 语句 。 同 理 通过 在 输入 参数 中 
构建 SQL 语法 还 可 以 删除 数据 库 中 的 表 ,查询 .插入 和 更 新 数据 库 中 的 数据 等 危险 操作 。 

(1) jo" ,drop table authors: 如 果 存 在 authors 表 则 删除 。 

(2) "union select sum(username) from users: 从 users 表 中 查询 出 username 的 个 数 。 

(3) ”; insert into users values(666，attacker”，foobar” ,Oxffff) : 在 user 表 中 插入 值 。 

(4) ”union select @@version,1,1,1: 查询 数据 库 的 版 本 。 

(5) ”exec master. . xp_cmdshell “dir” : 通过 xp_cmdshell 来 执行 dir 命令 。 


9.7.2 SOL 注入 攻击 的 一 般 步骤 


SQL 注入 攻击 可 以 手工 进行 ,也 可 以 通过 SQL 注入 攻击 辅助 软件 如 HDSI、Domain、 
NBSI 等 来 实现 ,其 实现 可 以 归纳 为 以 下 几 个 阶段 。 

(1) 寻找 SQL 注入 点 。 寻 找 SQL 注入 点 的 经 典 查找 方法 是 在 有 参数 传人 的 地 方 添加 
诸如 “and 1 二 1”、“and 1 二 2” 以 及 ““ ”等 一 些 特殊 字符 ,通过 浏览 器 所 返回 的 错误 信息 来 判 
断 是 否 存在 SQL 注入 ,如果 返回 错误 提示 , 则 表明 程序 未 对 输入 的 数据 进行 处 理 , 绝 大 部 分 
情况 下 都 能 进行 注入 。 

(2) 获取 和 验证 SQL 注入 点 。 找 到 SQL 注入 点 以 后 ,需要 进行 SQL 注入 点 的 判断 ， 
常常 采用 前 文中 的 语句 来 进行 验证 。 

(3) 获取 信息 。 获 取信 息 是 SQL 注入 中 一 个 关键 的 部 分 ,SQL 注入 中 首先 需要 判断 存 
在 注入 点 的 数据 库 是 否 支持 多 名 查询. 子 查询 .数据库 用 户 账号 数据库 用 户 权限 。 

(4) 实施 直接 控制 。 以 SQL Server 2000 为 例 ,如 果实 施 注入 攻击 的 数据 库 是 SQL 
Server 2000, 且 数据 库 用 户 为 sa, 则 可 以 直接 执行 添加 管理 员 账 号 .开放 3389 远程 终端 服 
务 .生成 文件 等 命令 。 

(5) 间接 进行 控制 。 间 接 控制 主要 是 指 通过 SQL 注入 点 不 能 执行 命令 ,只 能 进行 数据 
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字段 内 容 的 猜测 。 在 Web 应 用 程序 中 ,为 了 方便 用 户 的 维护 ,一 般 都 提供 了 后 台 管理 功能 ， 
其 后 台 管 理 验证 用 户 和 口令 都 会 保存 在 数据 库 中 ,通过 猜测 可 以 获取 这 些 内 容 ,如果 获 取 的 
是 明文 的 口令 , 则 可 以 通过 后 台中 的 上 传 等 功能 上 传 网 页 木马 实施 控制 ,如 果 口 令 是 明文 
的 , 则 可 以 通过 暴力 破解 其 密码 。 


9.7.3 ”SOQL 注入 攻击 的 防范 


由 于 SQL 注入 攻击 针对 的 是 应 用 开发 过 程 中 的 编程 缺陷 ,因而 对 于 绝 大 多 数 安全 设施 
(如 防火 墙 来 说 ) ,这 种 攻击 是 “合法 ”的 。 因 此 解决 SQL 注入 问题 只 有 依赖 于 编程 过 程 中 的 
严格 设计 和 仔细 检查 。 


9.8 计算 机 病毒 与 恶意 软件 


早 在 Internet 出 现 以 前 ,计算 机 病毒 就 已 经 是 计算 机 系统 安全 的 重要 威胁 。 随 着 网 络 
的 普及 ,计算 机 病毒 技术 网 络 化 的 趋势 明显 ,出现 了 诸如 蠕虫 等 专门 利用 网 络 进 行 传播 的 新 
型 病毒 。 与 此 同时 ,以 特洛伊 木马 为 代表 的 恶意 软件 也 成 为 网 络 攻击 中 的 重要 手段 。 这 两 
种 手段 往往 在 网 络 攻击 中 被 综合 使 用 ,如 通过 病毒 获取 系统 控制 权 , 随 后 植 人 木马 以 实现 对 
系统 的 远程 控制 或 用 户 信息 的 窃取 。 因 此 在 本 书 中 将 计算 机 病毒 和 恶意 软件 纳入 网 络 攻击 
技术 之 中 进行 介绍 。 


9.8.1 计算 机 病毒 


计算 机 病毒 是 一 种 人 为 制造 的 ,在 计算 机 运行 中 对 计算 机 信息 或 系统 起 破坏 作用 的 程 
序 , 本 节 对 计算 机 病毒 相关 的 基本 概念 和 防范 方法 进行 介绍 。 

1. 计算 机 病毒 概述 

“计算 机 病毒 "出 现在 Fred Cohen 1984 年 的 论文 (电脑 病毒 实验 ) 中 。20 世纪 70 年 代 
中 期 ,David Gerrold 在 其 科幻 小 说 ( When Harlie was One) 中 ,描述 了 一 个 叫 “ 病 毒 ” 的 程序 
和 与 之 对 战 的 叫 * 抗 体 ”的 程序 ,从 此 “计算 机 病毒 ”一 词 被 广泛 接受 。 真 实 病毒 的 锥 形 出 现 
在 20 世纪 60 年 代 初 ,美国 麻 省 理工 学 院 的 一 些 青 年 研究 人 员 ,利用 业务 时 间 玩 一 种 他 们 自 
己 创造 的 计算 机 游戏 。 做 法 是 某 个 人 编制 一 段 小 程序 ,然后 输入 到 计算 机 中 运行 ,并 销毁 对 
方 的 游戏 程序 。 这 样 的 程序 已 经 具备 了 病毒 初级 特征 。 

简单 地 说 ,计算 机 病毒 是 一 种 人 为 制造 的 、 在 计算 机 运行 中 对 计算 机 信息 或 系统 起 破坏 
作用 的 程序 ,通常 这 种 程序 不 是 独立 存在 的 , 它 隐蔽 在 其 他 可 执行 的 程序 之 中 , 既 有 破坏 性 ， 
又 有 传染 性 和 潜伏 性 。 在 我 国 1994 年 发 布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 ) 中 对 病毒 的 定义 是 :“ 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 , 影 
响 计 算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

2. 计算 机 病毒 的 特性 

计算 机 病毒 通常 具有 以 下 几 个 方面 主要 特性 。 

(1) 寄生 性 。 通 常 计算 机 病毒 不 是 完整 的 程序 ,因此 需要 依附 在 某 种 类 型 的 文件 上 ,这 
种 特性 称 为 病毒 的 寄生 性 ,被 病毒 依附 的 文件 称 为 宿主 文件 。 例 如 著名 的 CIH 病毒 便 把 自 
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己 拆 分 成 数 段 ,然后 寄生 在 Windows PE 类 可 执行 文件 中 。 

(2) 可 执行 性 。 虽 然 计 算 机 病毒 不 是 完整 的 程序 ,但 是 通过 宿主 文件 的 使 用 或 执行 , 病 
毒 代码 可 以 在 被 感染 的 计算 机 内 得 到 运行 的 机 会 , 寻 机 获得 系统 的 控制 权 , 并 实施 传染 性 和 

(3) 传染 性 。 传 染 性 是 病毒 的 基本 特征 。 同 样 ,计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 
感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 
瘫痪 。 计 算 机 病毒 是 一 旦 进入 计算 机 并 得 以 执行 后 ,就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 
或 存储 介质 ,确定 目标 后 再 将 自身 代码 植 和 其 中 ,达到 自我 繁殖 的 目的 。 计 算 机 病毒 可 通过 
各 种 可 能 的 渠道 进行 传染 ,如 早期 的 病毒 主要 通过 软盘 传播 ,目前 病毒 传染 的 主要 方式 已 经 
转向 通过 电子 邮件 .即时 通信 工具 、 系 统 漏洞 等 网 络 途径 。 

(4) 潜伏 性 。 一 个 精心 设计 的 计算 机 病毒 程序 ,通常 不 会 在 进入 系统 后 马上 发 作 , 而 是 
长 时 间 隐 藏 在 合法 文件 中 ,对 其 他 系统 进行 传染 。 病 毒 的 潜伏 性 越 好 ,在 系统 中 的 存在 时 间 
就 会 越 长 ,病毒 的 传染 范围 就 会 越 大 。 

(5) 可 触发 性 。 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 
可 和 触发 性 。 病 毒 既 要 隐蔽 又 要 维持 潜在 的 破坏 性 ,就 必须 具有 可 和 触发 性 。 因 此 病毒 具有 预 
定 的 触发 条 件 , 这 些 条 件 可 能 是 时 间 .日 期 ,文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ,触发 
机 制 检查 预定 条 件 是 否 满足 ,如 果 满 足 , 启 动感 染 或 破坏 动作 ,使 病毒 进行 感染 或 攻击 ; 如 
果 不 满足 ,使 病毒 继续 潜伏 。 如 著名 的 * 米 开朗 基 罗 "病毒 的 得 名 ,就 是 因 其 在 著名 艺术 大 师 
米 开 朗 基 罗 的 生日 ,每 年 3 月 6 日 发 作 。 

(6) 破坏 性 。 所 有 的 计算 机 病毒 都 是 一 种 可 执行 程序 , 当 病 毒 程序 执行 时 都 会 对 计算 
机 系统 产生 一 定 的 影响 ,这 就 是 病毒 的 破坏 性 。 计 算 机 病毒 的 破坏 性 主要 取决 于 设计 者 的 
目的 ,如 果 病 毒 设计 者 的 目的 在 于 彻底 破坏 系统 的 正常 运行 的 话 ,计算 机 病毒 可 以 毁 掉 系统 
的 部 分 数据 ,也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 ,甚至 可 以 导致 系统 的 完全 瘫痪 。 如 
CIH 病毒 可 通过 破坏 某 些 计 算 机 主板 上 的 BIOS 系统 ,使 计算 机 硬件 系统 失效 。 

(7) 不 可 预见 性 。 从 对 病毒 的 检测 方面 来 看 ,病毒 还 有 不 可 预见 性 。 不 同 种 类 的 病毒 ， 
它们 的 代码 千差万别 ,由 于 病毒 的 制作 技术 在 不 断 地 提高 ,而 反 病 毒 技术 始终 滞后 于 病毒 技 
术 , 因 此 不 可 能 存在 一 种 反 病 毒 技术 能 够 一 劳 永 逸 地 消除 计算 机 病毒 问题 。 

除 上 述 特性 外 ,一 些 计算 机 病毒 还 具有 特殊 的 属性 ,主要 包括 : 

(1) 针对 性 。 一 些 计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 例 如 ,有 针 
对 IBM PC 及 其 兼容 机 的 ,有 针对 Apple 公司 的 Macintosh 的 ,还 有 针对 UNIX 操作 系统 
的 。 例 如 2010 年 首 度 在 伊朗 核电 站 控制 系统 中 发 现 的 “ 震 网 ”病毒 , 便 是 一 种 专门 针对 西门 
子 工业 控制 系统 的 超级 病毒 。 

(2) 衍生 性 。 这 是 指 利用 某 种 病毒 的 传染 和 破坏 原理 ,生成 一 种 不 同 于 原版 本 的 新 的 
计算 机 病毒 (又 称 为 变种 ) ,这 就 是 计算 机 病毒 的 衍生 性 。 这 种 特性 提供 了 一 种 设计 新 病毒 
的 捷径 ,病毒 的 衍生 性 使 得 新 病毒 的 开发 周期 缩短 ,病毒 的 查 杀 难度 加 大 ,具有 衍生 性 的 病 
毒 往往 会 造成 更 大 的 危害 。 

3. 计算 机 病毒 的 分 类 

由 于 计算 机 病毒 技术 发 展 得 非常 迅速 , 据 国 内 著名 安全 公司 360 的 (2011 上 半年 中 国 
网 络 安全 报告 ), 仅 2011 年 上 半年 就 截获 各 类 新 增 木马 病毒 4. 48 亿 个 ,因此 很 难 使 用 统一 
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的 分 类 方法 对 计算 机 病毒 进行 准确 划分 。 现 存 的 常用 分 类 方法 主要 有 以 下 几 种 。 

(1) 按照 计算 机 病毒 侵入 的 系统 分 类 。 

Q@ DOS 系统 下 的 病毒 : 这 类 病毒 出 现 最 早 , 广 泛 流行 于 20 世纪 八 九 十 年 代 。 如 “小 
球 ” 病 毒 “ 大 麻 " 病 毒 “ 黑 色 星 期 五 ”病毒 等 , 随 着 DOS 操作 系统 退出 计算 机 应 用 领域 ,目前 
这 类 病毒 已 经 销声匿迹 。 

@ Windows 系统 下 的 病毒 : 随 着 20 世纪 90 年 代 Windows 的 普及 ,Windows 下 的 病 
毒 便 开 始 广泛 流行 。CIH 病毒 就 是 一 个 经 典 的 Windows 病毒 。 

@ UNIX 系统 下 的 病毒 : UNIX 系统 应 用 非常 广泛 ,许多 大 型 系统 均 采用 UNIX 作为 
其 主要 的 操作 系统 ,Morris 蠕虫 是 一 个 UNIX 下 的 经 典 病毒 ,也 是 世界 上 首 个 网 络 蠕虫 病毒 。 

(2) 按照 计算 机 病毒 的 链接 方式 分 类 。 

QO 源码 型 病毒 : 这 种 病毒 主要 攻击 高 级 语言 编写 的 程序 ,该 病毒 在 高 级 语言 所 编写 的 
程序 编译 前 插入 到 原 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

@ 嵌入 型 病毒 : 这 种 病毒 是 将 自身 嵌入 现 有 程序 ,把 病毒 的 主体 程序 与 其 攻击 的 对 象 
以 插入 的 方式 链接 。 

@ 外 壳 型 病毒 : 这 种 病毒 将 其 自身 包围 在 被 侵入 的 程序 周围 ,对 原来 的 程序 不 做 修 
改 。 这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 , 一 般 测试 文件 的 大 小 即 可 查 出 。 

@ 操作 系统 型 病毒 : 这 种 病毒 利用 自己 的 程序 代码 加 入 或 取代 部 分 操作 系统 代码 进 
行 工 作 , 具 有 很 强 的 破坏 力 , 可 以 使 整个 系统 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系 
统 型 病毒 。 

(3) 按照 计算 机 病毒 的 破坏 性 质 分 类 。 

@ 良性 计算 机 病毒 : 良性 病毒 是 指 其 不 包含 对 计算 机 系统 产生 直接 破坏 作用 的 代码 。 
这 类 病毒 为 了 表现 其 存在 ,只 是 不 停 地 进行 扩散 ,从 一 台 计 算 机 传染 另 一 台 , 并 不 破坏 计算 
机 内 的 数据 。 有 些 只 是 表现 为 恶作剧 。 这 类 病毒 取得 系统 控制 权 后 ,会 导致 整个 系统 的 运 
行 效率 降低 ,系统 可 用 内 存 总 数 减少 ,使 某 些 应 用 程序 暂时 无 法 执行 。 

@ 恶性 计算 机 病毒 : 恶性 病毒 是 指 在 其 代码 中 包含 损伤 和 破坏 计算 机 系统 的 操作 ,在 
其 传染 或 发 作 时 会 对 系统 产生 直接 的 破坏 作用 。 这 类 病毒 有 很 多 ,如 CIH 病毒 。 当 该 病毒 
发 作 时 ,以 2048 个 扇 区 为 单位 ,从 硬盘 主 引导 区 开始 依次 往 硬 盘 中 写 和 人 垃圾 数据 ,直到 硬盘 
数据 被 全 部 破坏 为 止 。 

(4) 按照 计算 机 病毒 的 寄生 部 位 或 传染 对 象 分 类 。 

@ 磁盘 引导 型 病毒 : 磁盘 引导 区 传染 的 病毒 主要 是 用 病毒 的 全 部 或 部 分 逻辑 取代 正 
常 的 引导 记录 ,而 将 正常 的 引导 记录 隐藏 在 磁盘 的 其 他 地 方 。 由 于 引导 区 是 磁盘 能 正常 使 
用 的 先决 条 件 , 因 此 ,这 种 病毒 在 运行 之 初 (如 系统 启动 时 ) 就 能 获得 系统 控制 权 ,其 传染 性 
较 大 。 由 于 在 磁盘 的 引导 区 内 存储 着 需要 使 用 的 重要 信息 ,因此 ,如 果 对 磁盘 上 被 移 走 的 正 
常 引导 记录 不 进行 保护 ,在 运行 过 程 中 就 会 导致 引导 记录 的 破坏 。 引 导 区 传染 的 计算 机 病 
毒 较 多 ,例如 ,“ 大 麻 ”" 和 “小 球 ” 病 毒 就 是 这 类 病毒 。 

@ 操作 系统 型 病毒 : 操作 系统 是 计算 机 应 用 程序 得 以 运行 的 支持 环境 ,由 . SYS、 EXE 
和 . DLL 等 许多 可 执行 的 程序 及 程序 模块 构成 。 操 作 系 统 型 病毒 就 是 利用 操作 系统 中 的 一 
些 程 序 及 程序 模块 寄生 并 传染 的 病毒 。 通 常 ,这 类 病毒 成 为 操作 系统 的 一 部 分 ,只 要 计算 机 
开始 工作 ,病毒 就 处 在 随时 被 触发 的 状态 。 而 操作 系统 的 开放 性 和 不 完善 性 为 这 类 病毒 的 
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出 现 与 传播 提供 了 方便 .“ 黑 色 星 期 五 ”属于 这 类 病毒 。 

@ 感染 可 执行 程序 的 病毒 : 通过 可 执行 程序 传染 的 病毒 通常 寄生 在 可 执行 程序 中 ,一 
旦 程序 被 执行 病毒 就 会 被 激活 ,病毒 程序 首先 被 执行 ,并 将 自身 驻 留 内 存 , 然 后 设置 触发 条 
件 进 行 传染 。 

@ 宏 病 毒 : 宏 病 毒 是 一 种 寄存 于 文档 或 模板 的 宏 中 的 计算 机 病毒 ,主要 存在 于 
Microsoft Office 办 公 软 件 中 。 一 旦 打开 这 样 的 文档 , 宏 病 毒 就 会 被 激活 并 转移 到 计算 机 
上 , 且 驻 留 在 Normal 模板 中 。 此 后 ,所 有 自动 保存 的 文档 都 会 感染 上 这 种 宏 病 毒 ,而 且 , 如 
果 其 他 用 户 打开 了 已 感染 病毒 的 文档 , 宏 病 毒 又 会 转移 到 该 用 户 的 计算 机 中 。 

上 述 四 种 病毒 也 可 以 归于 两 大 类 : 一 是 存在 于 引导 扇 区 的 计算 机 病毒 ; 二 是 存在 于 文 
件 的 计算 机 病毒 。 

(5) 按照 传播 介质 分 类 。 按 照 计算 机 病毒 的 传播 介质 来 分 类 ,可 分 为 单机 病毒 和 网 络 
病毒 。 

QO 单机 病毒 : 单机 病毒 感染 的 途径 是 移动 存储 介质 的 交叉 使 用 ,如 计算 机 使 用 带 病毒 
USB 盘 移动 硬盘 ,病毒 传人 计算 机 的 硬盘 ,感染 系统 ; 在 受 感染 的 计算 机 上 使 用 USB 盘 和 
移动 硬盘 时 又 被 传人 存储 介质 ,并 以 之 为 中 介 , 传 给 其 他 的 计算 机 系统 ,例如 CIH 病毒 便 采 
用 这 种 方式 。 

@ 网 络 病毒 : 网 络 病毒 的 传播 介质 不 再 是 移动 存储 载体 ,而 是 计算 机 网 络 ,利用 系统 
的 安全 漏洞 进行 传播 ,这 种 病毒 的 传染 能 力 更 强 ,破坏 力 更 大 ,例如 ,“ 尼 姆 达 ” 病 毒 便 是 一 种 
可 通过 IIS Unicode 漏洞 传播 的 网 络 病毒 。 

新 型 的 病毒 也 可 能 综合 了 以 上 的 若干 特征 ,这 样 的 病毒 常 被 称 为 混合 型 病毒 。 

4. 计算 机 病毒 的 机 理 

目前 ,病毒 传播 方式 网 络 化 已 经 成 为 主流 ,并 被 作为 网 络 攻击 的 主要 手段 ,甚至 被 当做 
一 种 军事 手段 加 以 应 用 ,因此 研究 和 掌握 病毒 的 工作 原理 ,以 降低 病毒 对 网 络 安全 的 危害 具 
有 重要 的 意义 。 

病毒 的 种 类 和 数量 巨大 ,但 其 基本 的 程序 模块 构成 和 传染 机 制 有 共通 之 处 。 病 毒 程序 
一 般 由 主 控 模 块 ` 感 涩 模块 .触发 模块 和 破坏 模块 构成 ,如 图 9-14 所 示 。 


病毒 主 控 模 块 


病毒 感 病毒 触 病毒 破 

染 模块 发 模块 坏 模 块 
(1) 感染 条 件 判断 激活 传染 条 件 判断 (1) 破坏 条 件 判断 
(2) 感染 功能 实现 (2) 破坏 行为 实现 


9-14 ”病毒 程序 模块 构成 


(1) 主 控 模 块 。 主 控 模块 是 整个 病毒 程序 的 控制 中 枢 , 通 过 该 模块 来 协调 其 余 模块 的 
工作 。 当 病毒 程序 获得 运行 机 会 时 ,首先 执行 的 便 是 主 控 模 块 。 其 完成 的 基本 操作 包括 以 
下 几 个 方面 : 

@ 调用 感染 模块 ,选择 符合 条 件 的 目标 进行 感染 ; 

@ 调用 触发 模块 ,判断 触发 条 件 是 否 满足 ; 
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@ 如 果 满 足 触发 条 件 , 则 调用 破坏 模块 ,实施 预定 的 破坏 操作 ; 

@ 如 果 不 满足 触发 条 件 , 则 继续 执行 宿主 文件 。 

在 执行 上 述 操作 的 过 程 中 , 主 控 模块 还 需要 完成 运行 环境 信息 收集 ,运行 环境 准备 、 反 
清除 等 操作 。 如 扫描 系统 的 软 硬 件 环境 ,获取 CUP、 内 存 、 硬 盘 等 硬件 信息 ,扫描 操作 系统 
的 安全 漏洞 、 反 病毒 软件 安装 情况 等 。 内 存 驻 留 型 病毒 需要 完成 寻找 内 存 的 驻 留 区 域 ` 植 人 
病毒 代码 和 修改 中 断 向 量 表 等 操作 。 

(2) 感染 模块 。 感 染 模块 负责 病毒 代码 的 传播 工作 ,为 了 防止 重复 感染 同一 宿主 文件 ， 
当 病 毒 感染 宿主 程序 时 ,通常 把 一 个 唯一 的 感染 标志 写 入 宿主 程序 ,表明 该 程序 已 被 感染 。 
在 感染 模块 执行 时 会 根据 感染 标志 以 及 文件 类 型 等 条 件 来 选择 感染 目标 ,其 过 程 如 下 : 

Oa 寻找 感染 目标 。 

@ 检测 目标 中 是 否 存在 感染 标志 。 

@ 条 件 满足 则 实施 感染 ,将 病毒 代码 植 入 目标 。 

设 定 感染 标志 一 方面 可 以 为 病毒 代码 传播 提供 判断 条 件 , 另 一 方面 也 为 反 病 毒 软 件 提 
供 了 检测 病毒 的 依据 。 同 时 根据 这 一 特性 ,在 正常 文件 中 人 为 地 植 入 特定 病毒 的 感染 标志 ， 
可 以 起 到 对 病毒 的 免疫 作用 ,如 针对 CIH 病毒 的 免疫 程序 便 基于 了 这 样 的 工作 原理 。 

(3) 触发 模块 。 该 模块 通过 判断 预定 的 触发 条 件 是 否 满足 来 控制 病毒 的 感染 和 破坏 活 
动 。 常 见 的 触发 条 件 包括 时 间 和 日 期 触发 .键盘 触发 .启动 触发 .中 断 访问 触发 等 。 其 主要 
的 操作 为 检查 预定 的 触发 条 件 , 并 返回 判断 结果 。 

(4) 破坏 模块 。 该 模块 负责 实施 具体 的 破坏 工作 ,其 结构 上 一 般 分 为 两 个 部 分 : 一 部 
分 负责 判断 破坏 条 件 ; 另 一 部 分 则 执行 具体 的 破坏 操作 。 常 见 破坏 操作 包括 : 

Q@ 攻击 硬盘 主 引导 区 、Boot 扇 区 FAT 表 、 文 件 目录 。 

@ 占用 和 消耗 内 存 空间 ,占用 CPU 时 间 。 

@ 侵占 和 删除 存储 空间 。 

@ 改动 系统 配置 ,攻击 CMOS。 

@ 使 系统 操作 和 运行 速度 下 降 。 

@ 格式 化 整个 磁盘 ,格式 化 部 分 磁道 和 扇 区 。 

@ 干扰 打印 机 的 正常 工作 。 

扰乱 计算 机 键盘 的 正常 操作 。 

加 干扰 .改动 屏幕 的 正常 显示 。 

@@ 攻击 邮件 .阻塞 网 络 ,攻击 文件 ,包括 非法 阅读 、 添 加 、 删 除 文件 和 数据 。 

5. 计算 机 病毒 的 实例 分 析 

病毒 的 种 类 繁多 ,不 胜 枚 举 , 下 面 以 几 个 典型 的 病毒 实例 简要 介绍 文件 型 病毒 .蠕虫 病 
毒 以 及 针对 即时 通信 软件 的 网 页 病毒 的 工作 原理 和 破坏 传播 机 制 。 

1) CIH 病毒 

CIH 病毒 由 台湾 大 学 生 陈 盈 豪 编写 ,并 于 1998 年 从 台湾 传 出 。CIH 1. 2 是 当时 最 流行 
的 版 本 ,发 作 日 期 是 每 年 的 4 月 26 日 。 

CIH 病毒 是 一 种 文件 型 病毒 ,又 称 Win95. CIH、Win32. CIH 或 PE_CIH。 该 病毒 感染 
Windows 9x 中 以 .EXE 为 后 级 的 可 执行 文件 ,但 该 病毒 不 会 影响 DOS、Windows NT 和 
Windows XP 操作 系统 。 


4 


息 安 全 概论 


CIH 病毒 破坏 的 具体 表现 包括 : 四 删除 数据 .CIH V1. 2 及 其 以 上 版 本 的 病毒 会 从 硬 
盘 的 主 引导 区 开始 ,依次 往 硬 盘 中 写 人 垃圾 数据 ,直到 硬盘 数据 全 部 被 破坏 为 止 ; @ 改 写 
BIOS, 当 CIH 病毒 发 作 时 ,病毒 会 在 部 分 厂家 生产 的 主板 Flash ROM 中 写 入 垃圾 数据 ,使 
BIOS 失效 ,计算 机 无 法 正常 启动 。 

该 病毒 的 传播 方式 是 : 驻 留 内 存 随时 传染 ,CIH 病毒 会 驻 留 内 存 ,这 意味 着 Windows 
95/98 系统 调用 任何 (打开 、 关 闭 、 重 命名 、 复 制 或 运行 ) 以 . EXE 为 扩展 名 的 文件 都 会 感染 
该 计算 机 病毒 ,这 就 加 速 了 CIH 病毒 的 传播 速度 ,增加 了 病毒 传播 的 可 能 性 。 

2) 尼 姆 达 病 毒 

尼 姆 达 病 毒 是 一 种 2001 年 出 现 并 广 为 传播 的 蠕虫 病毒 ,用 JavaScript 脚本 语言 编写 ， 
病毒 体 长 度 57 344B, 它 修改 在 本 地 驱动 器 上 的 . htm、. html 和 . asp 文件 。 此 病毒 可 以 使 
IE 和 Outlook Express 加 载 readme. eml 文件 。 该 文件 将 尼 姆 达 蠕 虫 作为 一 个 附件 包含 , 因 
此 不 需要 打开 或 运行 这 个 附件 ,病毒 就 会 被 执行 。 由 于 用 户 收 到 带 毒 邮件 时 无 法 看 到 附件 ， 
这 样 给 防范 带 来 困难 ,病毒 也 更 具 隐 蔽 性 。 

尼 姆 达 病 毒 的 破坏 性 主要 体现 在 : 使 计算 机 速度 逐渐 变 慢 ,硬盘 在 不 知情 的 情况 下 被 
共享 ,Word 和 写字 板 等 文档 不 能 够 正常 地 打开 、 保 存 或 显示 内 存 不 足 等 提示 信息 。 

其 传播 方式 主要 包括 : 四 通过 E-mail 将 自己 发 送出 去 ; 思 搜 索 局 域 网 内 共享 的 网 络 资 
源 ; @ 将 病毒 文件 复制 到 没有 打 补 丁 的 微软 JS 服务 器 ; @ 感 染 本 地 文件 和 远程 网 络 共 享 
文件 ; 加 感染 浏览 的 网 页 。 

3) 震荡 波 病毒 

震荡 波 病毒 是 由 德国 萨克森 州 18 岁 的 高 中 生 斯 文 。 扬 森 编写 的 。 该 病毒 通过 微软 的 
高 危 漏 洞 一 一 Lsass 漏洞 进行 传播 ,是 一 种 危害 性 极 大 的 蠕虫 。 

其 具体 表现 是 : 首先 生成 C:\WINNT\system32\napatch. exe 文件 并 且 执 行 它 ,然后 
在 C:\WINNT 文件 夹 下 建立 文件 napatch. exe, 并 随即 在 注册 表 中 建立 自己 的 键 值 : 
HKEY_LOCAL _ MACHINE\SOFTWARE\ Microsoft\ Windows\Current Version\ Run 
"napatch. exe" 二 %WinDir%\napatch. exe。 这 样 病毒 在 Windows 启动 时 就 得 以 运行 。 

震荡 波 病毒 的 主要 破坏 行为 是 : 在 本 地 开辟 后 门 , 监 
听 5554 端口 ,作为 FTP 服务 器 等 待 远 程控 制 命令 。 攻 击 3 
者 可 以 通过 这 个 端口 偷窃 用 户 机 器 的 文件 和 其 他 信息 。 ”| @ 和 于 全 于 和 是 拆 ” 

其 传播 方式 是 : 病毒 将 开辟 128 个 扫描 线程 ,以 本 地 
IP 地 址 为 基础 , 取 随 机 IP 地 址 并 试探 连接 445 端口 , 利 
用 Lsass. exe 缓冲 区 溢出 漏洞 进行 攻击 ,攻击 成 功 会 导致 
对 方 机 器 感染 病毒 并 进行 下 一 轮 的 传播 ,攻击 失败 也 会 造 
成 对 方 机 器 的 缓冲 区 溢出 ,导致 对 方 机 器 系统 异常 等 ,如 
图 9-15 所 示 。 图 9-15 震荡 波 病 毒 感 染 表现 

4) QQ 尾巴 病毒 

随 着 即时 通信 (IM) 软件 的 流行 ,针对 QQ、MSN 等 IM 软件 的 病毒 也 随 之 出 现 。QQ 
尾巴 就 是 在 2003 年 发 现 的 一 种 针对 QQ 软件 的 网 页 病毒 。 

该 病毒 的 主要 特征 和 破坏 行为 是 : 这 种 病毒 并 不 是 利用 QQ 本 身 的 漏洞 进行 传播 。 它 
其 实 是 在 某 个 网 站 首页 上 嵌入 了 一 段 恶 意 代码 ,利用 IE 的 iFrame 系统 漏洞 自动 运行 恶意 
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木马 程序 ,从 而 达到 侵入 用 户 系 统 ,进而 借助 QQ 进行 垃圾 信息 发 送 的 目的 。 

该 病毒 的 传播 方式 是 : 用 户 系统 如 果 没 安装 漏洞 补丁 或 没 把 IE 升级 到 最 高 版 本 ,那么 
访问 这 些 网 站 的 时 候 其 访问 的 网 页 中 嵌入 的 恶意 代码 即 被 运行 ,就 会 紧 接着 通过 IE 的 漏洞 
运行 一 个 木马 程序 进驻 用 户 机 器 。 然 后 在 用 户 使 用 QQ 向 好 友 发 送信 息 的 时 候 , 该 木马 程 
序 会 自动 在 发 送 的 消息 末尾 插入 一 段 广 告 词 ,并 诱 使 用 户 单 击 包 含 网 页 病毒 的 链接 来 进行 
传播 ,如 图 9-16 所 示 。 
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图 9-16 QQ 病毒 感染 表现 


6. 计算 机 病毒 检测 与 防范 

彻底 消除 计算 机 病毒 在 现 阶段 是 不 可 能 的 ,因此 病毒 检测 与 防范 对 于 计算 机 系统 安全 
显得 尤为 重要 。 

常见 的 病毒 检测 方法 主要 有 以 下 几 类 。 

1) 外 观 检 测 法 

计算 机 病毒 侵入 计算 机 系统 后 ,通常 会 使 计算 机 系统 的 某 些 部 分 发 生变 化 ,进而 引发 一 
些 异 常 现象 ,如 屏幕 显示 的 异常 现象 .系统 运行 速度 的 异常 .打印 机 并 行 端口 的 异常 和 通信 
串 行 口 的 异常 等 。 虽 然 不 能 准确 地 判断 系统 感染 了 何 种 计算 机 病毒 ,但 是 可 以 根据 这 些 异 
常 现象 来 判断 计算 机 病毒 的 存在 ,尽早 地 发 现 计算 机 病毒 ,便于 及 时 有 效 地 进行 处 理 。 外 观 
检测 法 是 计算 机 病毒 防治 过 程 中 起 着 重要 辅助 作用 的 一 个 环节 ,可 通过 其 初步 判断 计算 机 
是 否 感染 了 计算 机 病毒 。 

2) 系统 或 文件 对 比 法 

计算 机 病毒 感染 系统 和 文件 时 ,必然 引起 系统 或 文件 的 变化 , 既 包 括 长 度 的 变化 ,又 包 
括 内 容 的 变化 ,因此 ,将 无 毒 的 系统 或 文件 与 被 检测 的 系统 或 文件 的 长 度 和 内 容 进 行 比较 ， 
即 可 发 现 计 算 机 病毒 。 长 度 比较 和 内 容 比 较 法 有 其 局 限 性 , 仅 检查 可 疑 系统 或 文件 的 长 度 
和 内 容 是 不 充分 的 ,因为 存在 以 下 两 种 情况 : 

(1) 长 度 和 内 容 的 变化 可 能 是 合法 的 .有 些 正常 的 操作 可 以 引起 长 度 和 内 容 变化 ,如 系 
统 文件 的 升级 ; 

(2) 某 些 计算 机 病毒 ,如 CIH 病毒 感染 文件 时 ,宿主 文件 长 度 可 保持 不 变 。 

以 上 两 种 情况 下 ,长 度 比较 法 和 内 容 比较 法 不 能 区 别 程序 的 正常 变化 和 计算 机 病毒 攻 
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击 引起 的 变化 ,不 能 识别 保持 宿主 程序 长 度 不 变 的 计算 机 病毒 ,无 法 判定 为 何 种 计算 机 
病毒 。 

3) 特征 代码 法 

计算 机 病毒 签名 是 一 个 特殊 的 识别 标记 , 它 不 是 可 执行 代码 ,并非 所 有 计算 机 病毒 都 具 
备 计 算 机 病毒 签名 。 某 些 计算 机 病毒 判断 主 程序 是 否 受 到 感染 是 以 宿主 程序 中 是 否 有 某 些 
可 执行 代码 段落 做 判断 。 因 此 ,人 们 也 采用 了 类 似 的 方法 检测 计算 机 病毒 。 在 可 疑 程 序 中 
搜索 某 些 特殊 代码 , 即 为 特征 代码 段 检测 法 。 

计算 机 病毒 程序 通常 具有 明显 的 特征 代码 ,特征 代码 可 能 是 计算 机 病毒 的 感染 标记 (由 
字母 或 数字 组 成 串 ) ,如 * 快 乐 的 星期 天 ”计算 机 病毒 代码 中 包含 “Today is Sunday”。 特 征 
代码 也 可 能 是 一 小 段 计 算 机 程序 ,由 若干 个 计算 机 指令 组 成 ,如 “1575” 计 算 机 病毒 的 特征 码 
可 以 是 OAOCH。 

4) 校 验 和 法 

由 于 病毒 在 感染 系统 文件 时 ,需要 改写 宿主 文件 的 内 容 ,检测 宿主 文件 的 当前 内 容 的 校 
验 和 与 原始 保存 的 校 验 和 是 否 一 致 ,就 可 以 发 现 文件 是 否 被 计算 机 病毒 感染 ,这 种 方法 称 为 
校 验 和 法 。 采 用 这 种 方法 既 可 以 发 现 已 知 计算 机 病毒 ,也 可 以 发 现 未 知 计算 机 病毒 。 在 一 
些 计算 机 病毒 检测 工具 中 ,除了 采用 计算 机 病毒 特征 代码 法 之 外 ,还 纳入 校 验 和 法 ,以 提高 
其 检测 能 力 。 

但 是 , 校 验 和 法 不 能 识别 计算 机 病毒 的 种 类 。 与 系统 文件 对 比 法 的 不 足 类 似 , 由 于 计算 
机 病毒 感染 并 非 造成 宿主 文件 内 容 改 变 的 唯一 原因 ,所 以 校 验 和 法 误 报 率 很 高 ,而 且 针 对 所 
有 系统 文件 的 内 容 计算 校 验 和 也 会 影响 程序 运行 的 速度 。 

5) 启发 式 代 码 扫描 技术 

启发 式 代 码 扫描 也 可 称 为 启发 式 智 能 代码 分 析 , 它 将 人 工 智能 的 知识 和 原理 运用 到 计 
算 机 病毒 检测 当中 ,运用 启发 式 扫描 技术 的 计算 机 病毒 检测 软件 ,实际 上 就 是 以 人 工 智能 的 
方式 实现 的 动态 反 编译 代码 分 析 比较 器 ,通过 对 程序 有 关 指 令 序列 进行 反 编 译 , 逐 步 分 析 、 
比较 ,根据 其 动机 判断 其 是 否 为 计算 机 病毒 。 例 如 ,有 一 段 程序 以 如 下 指令 开始 : MOV 
AH,5 INT,13h。 该 指令 调用 了 格式 化 盘 操 作 的 BIOS 指令 ,那么 这 段 程序 就 高 度 可 疑 , 应 
该 引起 警觉 ,尤其 是 这 段 指令 之 前 没有 从 命令 行 取 参 数 选项 的 操作 ,又 没有 要 求 用 户 交互 性 
输入 继续 进行 的 操作 指令 ,那么 这 段 程序 就 显然 是 计算 机 病毒 或 恶意 破坏 的 程序 。 

6) 其 他 方法 

其 他 的 计算 机 病毒 检测 与 分 析 方 法 还 包括 虚拟 机 技术 、 沙 箱 技 术 、 动 态 陷 阱 技术 、 预 扫 
描 技术 以 及 近年 来 出 现 的 云 杀 毒 技 术 等 。 总 之 ,作为 信息 安全 研究 的 重要 研究 领域 , 反 病 毒 
技术 将 随 着 计算 机 病毒 技术 的 发 展 而 不 断 进 步 。 

从 用 户 的 角度 出 发 ,为 了 减少 计算 机 病毒 对 系统 安全 的 影响 ,需要 做 好 以 下 几 个 方面 的 
防范 工作 : 

(1) 养 成 及 时 下 载 最 新 系统 安全 漏洞 补丁 的 安全 习惯 ,从 根源 上 杜绝 利用 系统 漏洞 攻 
击 计算 机 的 病毒 ; 

(2) 将 应 用 软件 升级 到 最 新 版 本 ,避免 病毒 利用 应 用 软件 漏洞 进行 木马 病毒 传播 ; 

(3) 选择 功能 完备 的 杀毒 软件 ,定期 升级 杀毒 软件 病毒 库 和 对 计算 机 进行 病毒 查 杀 ; 

(4) 不 要 随便 打开 来 源 不 明 的 电子 邮件 特别 是 邮件 中 的 附件 ,以 免 受到 病毒 的 侵害 ， 
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(5) 上 网 浏览 时 一 定 要 开启 杀毒 软件 的 实时 监控 功能 ,并 不 要 随意 访问 全 陌生 网 站 ,以 
免 遭 到 网 页 脚本 病毒 的 侵害 ; 
(6) 定期 做 好 重要 资料 的 备份 ,以 免 造 成 重大 损失 。 


9.8.2 木马 攻击 


木马 是 一 种 常用 于 网 络 攻 击 的 特殊 软件 ,本 节 将 对 木马 的 基本 概念 、 类 型 和 攻击 方法 进 
行 介 绍 。 

1. 木马 概述 

木马 全 称 是 特洛伊 木马 (Trojan Horse) ,该 词 来 源 于 古 希 腊 诗人 荷 马 在 其 两 部 史诗 著 
作 《伊利 亚 特 ) 与 4 奥德赛》 里 所 记载 的 特洛伊 战争 部 分 一 一 希腊 人 利用 藏身 在 巨大 木马 内 的 
勇士 ,成 功 地 渗入 特洛伊 城 ,里 应 外 合 取 得 了 最 后 的 胜利 。 

木马 在 计算 机 领域 中 指 的 是 一 种 特殊 的 后 门 程序 ,是 攻击 者 用 来 盗 取 其 他 用 户 的 个 人 
信息 ,甚至 是 远程 控制 对 方 的 计算 机 而 制作 ,然后 通过 各 种 手段 传播 或 者 骗取 目标 用 户 执行 
该 程序 ,以 达到 盗 取 密 码 等 各 种 数据 资料 等 目的 。 与 病毒 相似 ,木马 程序 有 很 强 的 隐秘 性 ， 
随 操作 系统 启动 而 启动 。 

一 个 完整 的 木马 程序 包含 两 部 分 : 服务 端 和 客户 端 。 植 入 目标 主机 的 是 服务 端 ,攻击 
者 可 利用 客户 端 对 安装 了 服务 端的 主机 进行 远程 控制 。 通 常 在 目标 主机 运行 木马 程序 的 服 
务 端 以 后 ,会 秘密 地 打开 一 个 特定 的 端口 ,用 于 接收 攻击 者 发 出 的 指令 或 向 指定 目的 地 ( 某 
个 邮件 地 址 或 攻击 者 的 主机 ) 发 送 数据 (如 网 络 游戏 的 密码 、 实 时 通信 软件 的 密码 和 用 户 上 
网 密码 等 ) 。 

木马 程序 与 病毒 的 主要 区 别 是 ,其 实质 上 是 一 种 基于 客户 /服务 器 模式 的 远程 管理 工 
具 , 一 般 不 具备 自我 传播 能 力 ,而 是 被 作为 一 种 实施 攻击 的 手段 被 病毒 植 和 人 到 目标 系统 的 主 
机 中 。 

木马 程序 技术 发 展 可 以 说 非常 迅速 ,至今 木马 程序 已 经 经 历 了 六 代 的 改进 。 

第 一 代 , 是 最 原始 的 木马 程序 。 主 要 是 简单 的 密码 窃取 ,通过 电子 邮件 发 送信 息 等 , 具 
备 了 木马 最 基本 的 功能 。 

第 二 代 , 在 技术 上 有 了 很 大 的 进步 ,开始 具有 图 形 化 的 远程 控制 界面 ,冰河 是 国产 木马 
的 典型 代表 之 一 。 

第 三 代 , 主 要 改进 在 数据 传递 技术 方面 ,出 现 了 ICMP 等 类 型 的 木马 ,利用 畸形 报 文 传 
递 数据 ,增加 了 杀毒 软件 查 杀 识别 的 难度 。 

第 四 代 , 在 进程 隐藏 方面 有 了 很 大 改动 ,采用 了 内 核 插入 式 的 敌人 方式 ,利用 远程 插入 
线程 技术 ,嵌入 DLL 线程 。 或 者 挂 接 PSAPI, 实 现 木 马 程序 的 隐藏 ,甚至 在 Windows NT/ 
2000 下 ,都 达到 了 和 良好 的 隐藏 效果 。 灰 鸽子 和 蜜蜂 大 次 是 比较 出 名 的 DLL 木马 。 

第 五 代 , 驱 动 级 木马 。 驱 动 级 木马 多 数 都 使 用 了 大 量 的 内 核 C(Rootkit) 技 术 来 达到 在 深 
度 隐 藏 的 效果 ,感染 后 针对 杀毒 软件 和 网 络 防 火 墙 进行 攻击 ,可 将 系统 服务 描述 符 表 
(System Services Descriptor Table,SSDT) 初 始 化 ,导致 杀毒 防火 墙 失 去 效应 。 有 的 驱动 级 
木马 甚至 可 驻 留 BIOS, 很 难 查 杀 。 

第 六 代 , 随 着 身份 认证 UsbKey 和 杀毒 软件 主动 防御 的 兴起 , 黏 虫 技术 类 型 和 特殊 反 显 
技术 类 型 木马 逐渐 开始 系统 化 。 前 者 主要 以 瓷 取 和 算 改 用 户 敏感 信息 为 主 ,后 者 以 动态 口 
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令 和 硬 证 书 攻击 为 主 。PassCopy 和 暗黑 蜂 蛛 侠 是 这 类 木马 的 代表 。 

2. 木马 的 类 型 和 攻击 方法 

随 着 木马 技术 的 发 展 衍生 出 了 多 种 具有 不 同 功 能 的 木马 程序 ,以 下 对 不 同类 型 的 木马 
及 其 攻击 方法 作 简要 的 介绍 。 

(1) 破坏 型 木马 。 此 类 木马 的 唯一 的 功能 就 是 潜伏 在 系统 内 部 ,并 在 接收 到 远程 指令 
时 实施 对 系统 的 破坏 ,如 执行 删除 系统 文件 格式 化 系统 硬盘 等 。 

(2) 密码 窃取 型 木马 。 此 类 木马 的 主要 功能 是 窃取 用 户 的 密码 并 把 它们 发 送 到 指定 的 
目的 地 (如 攻击 者 设 定 的 电子 邮件 地 址 )。 主 要 窃取 密码 的 手段 包括 : 记录 操作 者 的 键盘 操 
作 , 从 记录 用 户 密 码 的 系统 文件 中 寻找 密码 等 。 

(3) 远程 访问 型 木马 。 这 是 一 类 应 用 最 广泛 的 木马 ,只 需要 在 目标 主机 上 植 人 并 运行 
木马 的 服务 端 程序 ,攻击 者 便 可 以 根据 目标 主机 的 IP 地 址 和 特定 的 端口 号 连接 服务 端 程 
序 , 实 现 对 目标 主机 远程 控制 。 为 了 绕 过 防火 墙 ,部 分 木马 软件 使 用 了 “反弹 ”的 连接 方式 ， 
即 由 木马 服务 端 程序 主动 连接 客户 端的 端口 ,使 得 连接 从 受 防火 墙 保护 的 内 部 网 络 中 发 起 ， 
而 避免 防火 墙 对 通信 过 程 的 过 滤 。 

(4) 代理 型 木马 。 这 类 木马 的 危害 不 是 体现 在 被 控制 的 主机 上 ,而 是 体现 在 攻击 者 可 
以 利用 它 来 攻击 其 他 主机 ,主要 有 两 种 情况 存在 : 一 是 攻击 者 将 被 控制 主机 作为 跳板 实施 
对 目标 主机 的 攻击 ,以 规避 被 网 络 安全 技术 人 员 追 踪 的 风险 ; 二 是 利用 被 控制 主机 发 起 
DDoS 攻击 ,对 攻击 目标 造成 更 大 的 伤害 和 损失 。 

3. 木马 攻击 的 防范 

木马 攻击 的 防范 主要 包括 木马 检测 ,清除 和 预防 三 个 方面 。 

1) 木马 的 检测 

(1) 查看 开放 端口 。 当 前 最 为 常见 的 木马 通常 是 基于 TCP/UDP 进行 Client 端 与 
Server 端 之 间 的 通信 的 ,这 样 我 们 就 可 以 通过 查看 在 本 机 上 开放 的 端口 ,看 是 否 有 可 疑 的 程 
序 打开 了 某 个 可 疑 的 端口 。 例 如 冰河 使 用 的 监听 端口 是 7626,Back Orifice 2000 使 用 的 监 
听 端 口 是 54320 等 。 假 如 查看 到 有 可 疑 的 程序 在 利用 可 疑 端 口 进 行 连接 , 则 很 有 可 能 就 是 
被 植 人 了 木马 。 查 看 端口 的 方法 有 如 下 几 种 。 

@ 使 用 Windows 本 身 自 带 的 netstat 命令 : C:\ 二 netstatran。 

@ 使 用 Windows 下 的 命令 行 工 具 fport。 

@ 使 用 图 形 化 界面 工具 Active Ports ,这 个 工具 可 以 监视 到 电脑 所 有 打开 的 TCP/IP/ 
UDP 端口 ,还 可 以 显示 所 有 端口 所 对 应 的 程序 所 在 的 路 径 ,本 地 IP 和 远 端 IP 是 否 正在 活 
动 。 这 个 工具 适用 于 Windows NT/2000/XP 平 台 ,如 图 9-17 所 示 。 

(2) 查看 win. ini 和 system. ini 系统 配置 文件 。 查 看 win. ini 和 system. ini 文件 是 否 有 
被 修改 的 地 方 。 例 如 ,有 的 木马 通过 修改 win. ini 文件 中 windows 小 节 中 的 "load 一 file. exe， 
run 一 file. exe” 语 句 进 行 自动 加 载 。 此 外 可 以 修改 system. ini 中 的 boot 节 ,实现 木马 加 载 。 

(3) 查看 启动 程序 。 如 果木 马 自 动 加 载 的 文件 是 直接 通过 在 Windows 菜单 上 自 定 义 
添加 的 ,一般 都 会 放 在 主 菜单 的 “开始 ”>“ 程 序 ”>“ 启 动 * 处 ,在 Windows NT 环境 下 (如 果 
系统 安装 目录 为 C:\WINNT) 的 资源 管理 器 里 的 位 置 是 “C:\WINNT\start menu\programs\ 启 
动 ” 处 。 通 过 这 种 方式 使 文件 自动 加 载 时 ,一 般 都 会 将 其 存放 在 注册 表 中 下 述 四 个 位 置 上 。 
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9-17 ”Active Ports 工作 界面 


OD HKEY_ CURRENT __ USER \ Software\ Microsoft \ WINNT \ CurrentVersion \ 
Explorer\Shell Folders 

©® HKEY _CURRENT _ USER \ Software \ Microsoft \ WINNT \ CurrentVersion \ 
Explorer\User Shell Folders 

©@ HKEY_LOCAL _ MACHINE\Software\ Microsoft\ WindowsNT\CurrentVersion\ 
Explorer\User Shell Folders 

@ HKEY _LOCAL_MACHINE\ Software\ Microsoft \ WINNT \ CurrentVersion \ 
Explorer\Shell Folders 

检查 是 否 有 可 疑 的 启动 程序 ,可 以 判断 是 否 被 植 入 了 木马 。 

(4) 查看 系统 进程 。 木 马 即使 隐藏 得 再 好 , 它 也 是 一 个 应 用 程序 ,需要 进程 来 执行 。 可 
以 通过 查看 系统 进程 来 推断 木马 是 否 存在 。 在 Windows 系统 下 , 按 Ctrl 十 Alt 十 Del 键 , 打 
开 任 务 管理 器 ,就 可 查看 系统 正在 运行 的 全 部 进程 。 这 要 求 对 系统 非常 熟悉 ,了 解 每 个 系统 
进程 的 功能 ,才能 识别 哪个 是 木马 程序 的 活动 进程 。 

(5) 查看 注册 表 。 木 马 程序 一 旦 被 加 载 ,一 般 都 会 对 注册 表 进 行 修改 。 一 般 来 说 ,木马 
在 注册 表 中 实现 加 载 文件 一 般 是 在 以 下 等 处 : 

中 HKEY_LOCAL MACHINE\Software\ Microsoft\WINNT\CurrentVersion\Run 

@ HKEY_LOCAL MACHINE\Software\ Microsoft\WINNT\Current Version\RunOnce 

@®@ HKEY_LOCAL MACHINE\Software\Microsoft\WINNT\CurrentVersion\RunServices 
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@ HKEY_LOCAL MACHINE\ Software\ Microsoft\ WINNT\ CurrentVersion \ 
RunServicesOnce 

@ HKEY_CURRENT_USER\Software\Microsoft\WINNT\CurrentVersion\Run 

© HKEY_CURRENT_USER\Software\ Microsoft\WINNT\CurrentVersion\RunOnce 

@ HKEY_CURRENT_USER\Software\Microsoft\WINNT\CurrentVersion\RunServices 

此 外 ,在 注册 表 中 的 HKEY_CLASSES_ROOT\exefile\shell\open\command 二 “%1” 
的 %x* 处 ,如 果 其 中 的 “%1” 被 修改 为 木马 ,那么 每 次 启动 一 个 该 可 执行 文件 时 木马 就 会 启 
动 一 次 ,例如 著名 的 冰河 木马 就 是 将 TXT 文件 的 Notepad. exe 改 成 了 它 自己 的 启动 文件 ， 
每 次 打开 记事 本 时 就 会 自动 启动 冰河 木马 ,做 得 非常 隐蔽 。 

(6) 使 用 检测 软件 。 以 上 介绍 的 是 手工 检测 木马 的 方法 ,此 外 ,还 可 以 通过 各 种 杀毒 软 
件 、 防 火 墙 软件 和 各 种 木马 查 杀 工 具 等 检测 木马 。 如 国内 安全 厂商 的 360 木马 防火 墙 、 瑞 星 
个 人 防火 墙 ,国外 McAfee、Norton 等 安全 厂商 提供 的 防 木马 软件 。 

2) 木马 的 清除 

检测 到 电脑 被 植 人 了 木马 后 ,就 要 根据 木马 的 特征 来 进行 清除 。 查 看 是 否 有 可 疑 的 启 
动 程序 、 可 疑 的 进程 存在 ,是 否 修改 了 win. ini、system. ini 系统 配置 文件 和 注册 表 。 如 果 存 
在 可 疑 的 程序 和 进程 ,就 按照 特定 的 方法 进行 清除 。 手 工 清除 木马 的 主要 步骤 如 下 。 

(1) 删除 可 疑 的 启动 程序 。 查 看 系统 启动 程序 和 注册 表 是 否 存在 可 疑 的 程序 后 ,判断 
是 否 被 植 人 了 木马 ,如 果 存 在 木马 , 则 除了 要 查 出 木马 文件 并 删除 外 ,还 要 将 木马 自动 启动 
程序 删除 。 查 看 这 些 目录 ,如 果 有 可 疑 的 启动 程序 , 则 将 之 删除 。 

(2) 恢复 win. ini 和 system. ini 系统 配置 文件 的 原始 配置 。 许 多 木马 会 将 win. ini 和 
system. ini 系统 配置 文件 修改 ,使 之 能 在 系统 启动 时 加 载 和 运行 木马 程序 。 例 如 被 植 人 了 
“ 妖 之 吻 ” 木 马 后 ,木马 会 将 system. ini 中 的 boot 节 的 “Shell= 王 Explorer. exe” 字 段 修改 成 
“Shell 二 yzw. exe”, 清 除 木马 的 方法 是 把 system. ini 给 恢复 原始 配置 , 即 “Shell= yzw. exe” 
修改 回 “Shell 二 Explorer. exe”, 再 删除 病毒 文件 即 可 。 

(3) 停止 可 疑 的 系统 进程 。 木 马 程序 在 运行 时 都 会 在 系统 进程 中 留 下 痕迹 。 通 过 查看 
系统 进程 可 以 发 现 运 行 的 木马 程序 ,在 对 木马 进行 清除 时 ,当然 首先 要 停 掉 木马 程序 的 系统 
进程 。 例 如 Hack. Rbot 木马 除了 将 自身 复制 到 一 些 固定 的 Windows 自 启动 项 中 外 ,还 在 
进程 中 运行 wuamgrd. exe 程序 ,修改 了 注册 表 . 以 便 木 马 可 随 机 自 启动 。 在 看 到 有 木马 程 
序 在 进程 中 运行 , 则 需要 马上 杀 掉 进程 ,并 进行 下 一 步 操作 ,修改 注册 表 和 清除 木马 
交 秩 % 

(4) 修改 注册 表 。 查 看 注册 表 , 将 注册 表 中 木马 修改 的 部 分 还 原 。 

(5) 使 用 杀毒 软件 和 木马 查 杀 工具 进行 查 杀 。 目 前 流行 的 杀毒 软件 都 提供 了 木马 查 杀 
的 功能 ,大 部 分 杀毒 软件 厂商 还 推出 了 很 多 专门 的 防 木马 软件 ,如 360 的 木马 防火 墙 、 瑞 星 
的 个 人 防火 墙 均 将 防 木马 软件 作为 核心 的 安全 功能 。 

3) 木马 预防 

在 检测 清除 木马 的 同时 ,还 要 注意 对 木马 的 预防 ,做 到 防 患 于 未 然 ,主要 包括 以 下 几 个 
方面 。 
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(1) 不 要 随意 打开 来 历 不 明 的 邮件 。 现 在 许多 木马 都 是 通过 邮件 来 传播 的 , 当 收 到 来 
历 不 明 的 邮件 时 ,请 不 要 打开 ,应 尽快 删除 。 并 加 强 邮件 监控 系统 , 拒 收 垃圾 邮件 。 

(2) 不 要 随意 下 载 来 历 不 明 的 软件 。 最 好 在 一 些 知名 的 网 站 下 载 软件 ,不 要 下 载 和 运 
行 那些 来 历 不 明 的 软件 。 在 安装 软件 的 同时 最 好 用 杀毒 软件 查看 有 没有 病毒 ,之 后 才 进 行 
安装 。 

(3) 及 时 修补 漏洞 和 关闭 可 疑 的 端口 。 一 般 木 马 都 是 通过 漏洞 在 系统 上 打开 端口 留 下 
后 门 ,以 便 上 传 木马 文件 和 执行 代码 ,在 把 漏洞 修补 上 的 同时 ,需要 对 端口 进行 检查 ,把 可 疑 
的 端口 关闭 。 

(4) 尽量 少 用 共享 文件 来。 如 果 必 须 使 用 共享 文件 夹 , 则 最 好 设置 账号 和 密码 保护 。 
注意 千 万 不 要 将 系统 目录 设置 成 共享 ,最 好 将 系统 下 默认 共享 的 目录 关闭 。Windows 系统 
默认 情况 下 将 目录 设置 成 共享 状态 ,这 是 非常 危险 的 。 

(5) 运行 实时 监控 程序 。 上 网 时 最 好 运行 反 木 马 实时 监控 程序 和 个 人 防火 墙 ,并 定时 
对 系统 进行 病毒 检查 。 

(6) 经 常 升级 系统 和 更 新 病毒 库 。 经 常 关注 厂商 网 站 的 安全 公告 ,这些 网 站 通常 都 会 
及 时 地 将 漏洞 ,木马 和 更 新 公布 出 来 ,并 在 第 一 时 间 发 布 补丁 和 新 的 病毒 库 等 。 

4. 木马 攻击 实例 

“冰河 ”木马 开发 于 1999 年 ,在 设计 之 初 , 开 发 者 的 本 意 是 编写 一 个 功能 强大 的 远程 控 
制 软 件 。 但 一 经 推出 ,就 依靠 其 强大 的 功能 成 为 攻击 者 发 动 网 络 人 侵 的 工具 ,并 结束 了 国外 
木马 一 统 天 下 的 局 面 ,成 为 国产 木马 的 标志 和 代名词 。 本 节 以 “冰河 ”木马 为 例 简 要 介绍 木 
马 攻击 的 过 程 。 

“冰河 ”木马 包含 可 执行 文件 win32. exe 和 Y_Client. exe, 前 者 是 服务 器 端 程序 ,后 者 为 
客户 端 程序 。 其 常用 的 攻击 流程 是 利用 系统 漏洞 将 win32. exe 文件 植 人 目标 主机 并 执行 ， 
然后 就 可 以 通过 Y_Client. exe 文件 来 控制 远程 服务 器 。 客 户 端 界 面 如 图 9-18 所 示 。 


=I9Ix 
文件 [E] 。 编 可 [日 。 设 轩 [6] 。 帮助 [H] 
缀 于 帅 黑 时 向 模 加 崎 作 到 
当 和 过 接 :Jeanest ”| 请 Ge “访问 D 令 :三 ” “应 用 IS] 
本 文件 管理 器 | 双 命令 控 制 台 | 
由 出 Leocakost 


9-18 “冰河 ?客户 端 界面 
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服务 器 程序 植 和 人 到 目标 主机 之 前 需要 对 服务 器 程序 做 一 些 设置 ,比如 连接 端口 ,连接 密 
码 等 。 选 择 客户 端 程序 菜单 栏 “设置 ”~* 配 置 服 务 器 程序 ”命令 ,可 以 对 服务 器 端 工 作 参 数 
进行 配置 ,如 图 9-19 所 示 。 


rr 丁目 站 | 
文 HE] 编 可 | 放 


EN 1 年 画 曙 询 包 了 


| ii: [er 二 :ez 边 OS: 应 用 [s] 
同文 件 着 理 器 | 双 命令 控制 台 | 
田 - 男 我 的 电脑 


由 图 canost 


9-19 配置 “冰河 ”服务 端 
这 时 就 可 以 对 服务 器 端 进行 配置 了 ,配置 界面 如 图 9-20 所 示 。 


eld 
男 基本 设置 | 姜 自我 保护 | 性 邮件 通知 | 


:Sim 文件 各 称 : FMD32E 


安装 路 径 
进程 名 称 : rindovs 访问 口令 : 12345657690 
繁 感 字符 
提示 信息 


口令 , 密码 , 连接 , 登录 , 帐户, password, connect, account, login, logon 


宕 本 置 妆 件 binehe3 2Wwin32 exe | ml 


图 9-20 “冰河 ”服务 器 端 配置 界面 


配置 完成 后 就 可 以 将 “冰河 ”的 服务 器 植 入 到 目标 主机 。 在 目标 主机 上 执行 完 win32. exe 
文件 以 后 ,表面 上 系统 没有 任何 反应 .但 其 注册 表 已 经 被 修改 ,并 将 服务 器 端 程序 和 文本 文 
件 进行 了 关联 , 当 用 户 双击 运行 一 个 扩展 名 为 . txt 的 文件 的 时 候 , 就 会 自动 执行 冰河 服务 
器 端 程序 。 当 目标 感染 “冰河 ”木马 以 后 ,查看 被 修改 后 的 注册 表 的 情况 如 图 9-21 所 示 。 

正常 情况 下 ,该 注册 表 项 应 该 是 “C:\WINNT\System32\notepad. exe”, 而 图 中 的 
Sysexplr. exe 其 实 是 “冰河 ”的 服务 器 端 程序 。 

这 时 就 可 以 利用 客户 端 程序 来 连接 服务 器 端 程序 。 在 客户 端 添 加 主机 的 地 址 信息 , 输 
入 预 设 的 密码 ,如 图 9-22 所 示 。 

连接 完成 后 就 可 以 查看 到 目标 主机 的 目录 ,如 图 9-23 所 示 。 

除了 查看 目标 主机 的 目录 ,冰河 还 支持 自动 跟踪 目标 机 屏幕 变化 ,记录 各 种 口令 信息 、 
获取 系统 信息 、 限 制 系统 功能 、 注 册 表 操作 ,发 送信 息 、 点 对 点 通信 等 强大 的 控制 功能 。 这 些 
功能 的 使 用 可 以 通过 功能 菜单 完成 ,如 图 9-24 所 示 。 


注册 表 篇 辑 器 


olxl 


注册 表 (R) 篇 加 (E) 查看 ( 罗 收 送 (四 帮助 HD 


a tsuserex,interfaces 类 到 数据 
图 tsuserex,interfaces.1 国人 村 认 ) REG_5Z CHWWINNTISystem3 
和 ttdie 
和 tfie 
TCT Transactoncontext 
外 TxCTx.TransactionContextEx 数值 名 称 如 : 
日 外 txtfie mo 

各 oefauticon 

日 国 shel 数值 数据 WD : 
日 多 open Je: Wr \Syst en32\SYSEXPLE. EXE %1| 
command 

由 国 print 

由 国 prntto 
四国 TypedName 


Typelib 


9-21 “冰河 ”修改 后 的 注册 表 项 


文件 [E] 编辑 [四 。 设置 [G] 。 帮助 [H] 


网 串 多 里 gE 


当前 连接 : [Locslkost 可 端 | 显示 名 称 : ost -| 
所 文人 管理 器 | 吧 命 控制 6 | asi | 
[EPE 


LocalHost 


9-22 ”连接 服务 器 端 程序 


冰河 Y8.2[ 通 如 
文件 [日 ”编辑 [E] 设置 [G] 。 帮助 [H] 


EE 


=I9lx| 


Es 


| 当前 贸 :Jieet 避 六 :se5 访问 全: errertt 应 用 加 
局 文件 管理 器 | 又 命令 控制 台 | 


田 - 思 我 的 电脑 
由 LocalHost 
日 hostl 
EC 
由 鲜 attack 
入 Docements md: 
由 国 x 
由 国 HyperSnap-DX 4 
ei 国 passdnp 新 建文 件 到 
passdunp 国 Propre Tiles 文件 上 传 自 … 
全 Fozwm Files | 国 Meyeled 文件 下 载 至 , 
图 Recycled 李 屯 打开 
由 国 TSYab 远程 打开 
四 重 Ymnr 快速 查看 
由 国 me SP 2000-1-10 12:00:00 
上 ae 出 新 2000-1-10 12:00:00 
国 NropEc. BA 查看 选项 2002-10-19 5:08:56 


9-23 “冰河 ”获取 远程 主机 文件 目录 


EE 


可 册 D:F6z ” 访 癌 D 令 : eee 应 用 [8] 


国 me 
加 eltr 148992 2000-1-10 12:00:00 
加 esetup xe 162816 2000-1-10 12:00:00 
固 Amopmc BAT 0 2002-10-19 5:08:56 


9-24 “冰河 ”远程 控制 功能 


清除 冰河 木马 主要 有 以 下 几 个 步骤 。 

(1) 删除 C:\WINNT\System32 下 的 Kernel32. exe 和 Sysexplr. exe 文件 。 

(2) 删除 HKEY_LOCAL_MACHINE\software\microsoft\WINNT\Current Version 
Run 的 键 值 C:\WINNT\system\Kernel32. exe。 

(3) 注册 表 的 KEY _LOCAL_MACHINE\ software\ microsoft \ WINNTA Current 
Version/Runservices 键 值 为 C:\WINNT\System32\Kernel32. exe 的 也 要 删除 。 

(4) 修改 注册 表 HKEY_CLASSES_ROOT/txtfile/shell/open/command 下 的 默认 值 ， 
将 木马 修改 后 的 值 C:\WINNT/System32/Sysexplr. exe %1 改 为 正常 情况 下 的 C:\WINNT\ 
System32\notepad. exe %1, 即 可 恢复 TXT 文件 关联 功能 。 


习题 


Co 和 TPT 人 wD 


js 
wm 一 Oo 
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. 简 述 网 络 攻击 的 一 般 流程 。 

. 网 络 攻击 是 如 何 分 类 的 ? 各 自 的 特点 是 什么 ? 

. 简 述 网 络 扫描 的 主要 功能 和 主要 的 扫描 技术 。 

. 简 述 共享 环境 下 网 络 监听 的 原理 。 

. 什么 是 网 络 欺骗 ? 列举 常见 的 网 络 欺骗 方法 。 

. 简 述 拒绝 服务 攻击 和 分 布 式 拒绝 服务 攻击 的 原理 。 
. 什么 是 缓冲 区 溢出 攻击 ? 解决 缓冲 区 溢出 的 直接 方法 有 几 种 ? 
. 简 述 SQL 注入 攻击 的 一 般 过 程 。 

. 简 述 计算 机 病毒 的 主要 特征 。 

. 简 述 计算 机 病毒 的 分 类 方法 。 

. 简 述 计 算 机 病毒 的 检测 方法 。 

. 什么 是 木马 ? 简 述 木马 的 类 型 。 

. 简 述 木马 预防 的 基本 方法 。 


心 下 人 下: 工 王 和 3 
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计算 机 物理 安全 (Computer Physical Security) 是 指 为 了 保证 计算 机 信 
息 系 统 安全 可 靠 运 行 ,确保 计算 机 信息 系统 在 对 信息 进行 采集 、 人 处 理 \ 传 输 、 
存储 、 显 示 、 分 发 和 利用 的 过 程 中 ,不 致 受到 人 为 (包括 未 授权 使 用 计算 机 资 
源 的 人 ) 或 自然 因素 的 危害 ,而 使 信息 丢失 泄漏 或 破坏 ,对 计算 机 系统 设备 、 
设施 (包括 机 房 建筑 .供电 、 空 调 等 )、 环 境 、 人 员 等 采取 适当 的 安全 措施 。 从 
以 上 对 计算 机 信息 系统 的 实体 安全 的 定义 可 以 看 到 ,保证 计算 机 信息 系统 的 
安全 涉及 的 范围 是 很 广 的 ,而 且 是 一 种 技术 性 要 求 高 .投资 巨大 的 工作 。 计 
算 机 信息 系统 的 物理 安全 主要 包括 以 下 内 容 。 

(1) 环境 安全 : 计算 机 信息 系统 所 在 环境 的 安全 保护 主要 包括 区 域 保护 
和 灾难 保护 。 

(2) 设备 安全 : 计算 机 信息 系统 设备 的 安全 保护 主要 包括 设备 的 防 毁 、 
防盗 .防止 电磁 信息 辐射 泄漏 和 干扰 以 及 电源 保护 等 方面 。 

(3) 媒体 安全 : 计算 机 信息 系统 媒体 安全 主要 包括 媒体 数据 的 安全 及 媒 
体 本 身 的 安全 。“ 安 全 ”有 两 层 含义 : 其 一 指 “ 平 安 , 无 危险 ”; 其 二 指 “ 保 护 ， 


保全 ”。 
10.1 系统 的 可 靠 性 与 容错 性 


现代 信息 社会 中 ,许多 重要 部 门 如 政府 、 军 事 、 金 融 、 证 券 . 电 信 、 医 院 、 运 
输 等 ,都 需要 维持 一 个 快速 稳定 的 数据 中 心 , 建 立 一 个 真正 成 功 的 、 高 度 有 效 
的 计算 机 信息 系统 ,这 是 信息 社会 最 具 关键 性 的 任务 之 一 。 要 保证 系统 的 资 
源 完 整 性 ,形成 一 个 高 可 用 性 的 系统 工作 环境 。 可 靠 性 是 系统 安全 的 最 基本 
要 求 之 一 ,是 所 有 网 络 信息 系统 建设 和 运行 的 目标 。 


10.1.1 系统 的 可 靠 性 


系统 的 可 靠 性 定义 为 : 在 特定 时 间 内 和 特定 条 件 下 系统 正常 工作 的 相应 
程度 , 即 (Degree of Suitability)。 可 靠 性 的 测量 方式 为 系统 的 可 用 性 
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(Availability) , 即 利用 率 。 可 用 性 的 平均 值 即 平均 利用 率 ,其 计算 方法 为 : 
A= MTBF/(MTBF + MTTR) 
式 中 ,MTBF 指 故 障 间隔 平均 时 间 (MeanTime Between Failures) ,MTTR 指 系 统 平均 修复 
时 间 (MeanTime To Repair) 。 因 此 , 增 大 可 靠 性 的 有 效 思 路 是 增 大 平均 故障 间隔 时 间或 者 
减少 平均 故障 修复 时 间 。 
增加 可 靠 性 的 具体 措施 包括 : 提高 设备 质量 ,严格 质量 管理 ,配备 必要 的 宛 余 和 备份 ， 
采用 容错 、 纠 错 和 自 愈 等 措施 ,选择 合理 的 拓扑 结构 和 路 由 分 配 ,强化 灾害 恢复 机 制 ,分 散 配 


置 和 负荷 等 。 
一 个 系统 的 可 靠 性 由 如 图 10-1 所 示 的 情况 获得 。 
可 靠 性 
Geliapility) 
[ 1 
容错 性 完美 性 
(fault tolerance) (perfection) 


匈 余 技术 一 -硬件 匈 余 ”完美 硬件 
(redundancy) 上 软件 元 余 


上 时 间 宛 余 
一 信息 宛 余 
静态 元 余 动态 重组 
被 动 重 组 主动 重组 
后 备 优美 降级 


(stand-by) (graceful degradation) 
图 10-1 系统 的 可 靠 性 


10.1.2 完美 性 与 避 错 技术 


完美 性 追求 一 种 避 错 技术 , 即 避免 出 错 。 提 高 完美 性 ,可 以 通过 元 器 件 的 精 选 .严格 的 
工艺 .精心 的 设计 来 实现 。 它 要 求 组 成 系统 的 各 个 部 件 、 器 件 具有 高 可 靠 性 ,不 允许 出 错 ,或 
者 出 错 率 降 至 最 低 。 完 美 性 分 为 硬件 完美 性 与 软件 完美 性 ,硬件 的 可 靠 性 与 完美 性 是 指 元 
器 件 的 完美 性 ,部件 的 完美 性 ` 整 机 与 系统 的 完美 性 ; 软件 的 可 靠 性 与 完美 性 是 指 软件 的 正 

软件 可 靠 性 与 硬件 可 靠 性 之 间 主 要 存在 以 下 区 别 。 

(1) 最 明显 的 是 硬件 有 老化 损耗 现象 ,硬件 失效 是 物理 故障 ,是 器 件 物 理 变 化 的 必然 结 
果 , 有 浴盆 曲线 现象 ; 软件 不 发 生变 化 ,没有 磨损 现象 ,有 陈旧 落后 的 问题 ,没有 浴盆 曲线 
现象 。 

(2) 硬件 可 靠 性 的 决定 因素 是 时 间 ; 受到 设计 生产、 运用 的 所 有 过 程 影响 ,软件 可 靠 
性 的 决定 因素 是 与 输入 数据 有 关 的 软件 差错 ,是 输入 数据 和 程序 内 部 状态 的 函数 ,更 多 地 决 
定 于 人 。 

(3) 硬件 的 纠 错 维护 可 通过 修复 或 更 换 失 效 的 系统 重新 恢复 功能 ,软件 只 有 通过 重新 


设计 。 
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(4) 对 硬件 可 采用 预防 性 维护 技术 预防 故障 ,采用 断 开 失 效 部 件 的 办 法 诊断 故障 ,而 软 
件 则 不 能 采用 这 些 技术 。 

(5) 事先 估计 可 靠 性 测试 和 可 靠 性 的 逐步 增长 等 技术 对 软件 和 硬件 有 不 同 的 意义 。 

(6) 为 提高 硬件 可 靠 性 可 采用 元 余 技 术 , 而 同一 软件 的 元 余 不 能 提高 可 靠 性 。 

(7) 硬件 可 靠 性 检验 方法 已 建立 ,并 已 标准 化 且 有 一 整套 完整 的 理论 ,而 软件 可 靠 性 验 
证 方法 仍 未 建立 ,更 没有 完整 的 理论 体系 。 

(8) 硬件 可 靠 性 已 有 成 熟 的 产品 市 场 ,而 软件 产品 市 场 还 很 新 。 

(9) 软件 错误 是 永恒 的 ,可 重 现 的 ,而 一 些 瞬 间 的 硬件 错误 可 能 会 被 误 认 为 是 软件 错误 。 

总 地 说 来 ,软件 可 靠 性 比 硬件 可 靠 性 更 难保 证 ,其 可 靠 性 比 硬件 可 靠 性 估计 要 低 一 个 数 
量 级 。 


10.1.3 容错 性 与 容错 技术 


随 着 计算 机 科学 的 发 展 , 计 算 机 规模 和 复杂 性 的 迅速 提高 ,计算 机 应 用 极 大 地 普及 , 尤 
其 是 计算 机 在 关键 场合 的 应 用 ,都 使 计算 机 的 可 靠 性 问题 面临 着 十 分 严峻 的 局 面 。 首 先 ,如 
果 不 采取 相应 措施 ,计算 机 的 可 靠 性 有 可 能 下 降 ; 其 次 ,如 果 计 算 机 失效 ,可 能 造成 无 法 估 
量 的 损失 。 例 如 ,银行 系统 中 的 计算 机 失效 ,将 意味 着 巨大 的 经 济 损失 ; 军事 系统 的 计算 机 
失效 亦 将 意味 着 战争 的 失败 。 因 此 ,计算 机 系统 必须 可 靠 。 

容错 技术 赋予 了 计算 机 系统 这 样 一 个 能 力 : 当 计 算 机 内 部 出 现 故障 的 情况 下 ,计算 机 
系统 仍 能 正确 工作 。 这 就 是 所 说 的 “容错 能 力 ”。 无 疑 , 容 错 技术 的 提出 ,将 为 计算 机 系统 可 
靠 性 的 提高 找到 一 个 强 有 力 的 技术 支撑 。 

1. 容错 系统 的 概念 

能 够 在 一 定 程度 上 容忍 故障 的 技术 称 为 容错 技术 ,采用 容错 技术 的 系统 称 为 容错 系统 。 
当 系 统 因 某 种 原因 出 错 或 者 失效 ,系统 能 够 继续 工作 ,程序 能 够 继续 运行 ,不 会 因 计算 机 故 
障 而 中 止 或 被 修改 ,执行 结构 也 不 包含 系统 中 故障 引起 的 差错 。 因 此 ,容错 技术 也 称 为 故障 
掩盖 技术 (Fault Masking)。 

宛 余 技术 是 容错 技术 的 重要 结构 , 它 以 增加 资源 的 办 法 换取 可 靠 性 。 由 于 资源 的 不 同 ， 
元 余 技 术 分 为 硬件 元 余 、 软 件 元 余 、 时 间 元 余 和 信息 元 余 。 这 样 ,资源 与 成 本 按 线 性 增加 ,而 
故障 概率 则 可 按 对 数 规律 下 降 。 宛 余 要 消耗 资源 ,因此 ,在 满足 所 需 可 靠 性 的 前 提 下 , 尽 可 
能 减少 资源 消耗 ,应 当 在 可 靠 性 与 资源 消耗 之 间 进 行 权衡 和 折 中 。 元 余 技 术 的 主要 类 型 
如 下 。 

(1) 硬件 元 余 : 以 增加 线路 .器件 、 部 件 、 设 备 形成 备份 ,多 数 表决 方式 检测 差错 ,判断 
正确 值 ,使 工作 继续 。 例 如 宇航 计算 机 使 用 5 个 CPU, 其 中 1 个 做 备份 ,4 个 CPU 组 成 4 中 
取 1 的 多 数 表决 系统 。 

(2) 软件 元 余 : 在 软件 中 设 定 一 些 定时 检测 点 , 若 运 行 正 常 , 则 此 点 的 现场 数据 存 到 备 
份 机 上 ,工作 继续 在 主机 上 进行 ; 若 下 一 检测 点 发 现 出 错 , 则 工作 转 到 备份 机 进行 ,备份 机 
从 上 一 检测 点 和 上 一 点 的 现场 数据 重新 运行 。 

(3) 时 间 宛 余 : 通过 指令 重复 执行 和 程序 重 试 的 方法 来 检测 系统 有 无 故障 或 渡 过 暂时 
性 故障 ,使 系统 功能 不 受 影响 。 

(4) 信息 元 余 : 设置 元 余 位 ,并 通过 编码 纠 错 来 检测 计算 机 中 的 差错 。 
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2. 容错 系统 工作 方式 

容错 系统 的 工作 过 程 一 般 分 为 三 个 阶段 : 自动 侦 测 .自动 切换 和 自动 恢复 。 

(1) 自动 侦 测 (Auto-Detect) : 容错 系统 中 的 软件 通过 专用 的 元 余 侦 测 线路 ,通过 监测 
程序 .逻辑 判断 侦 测 系统 的 运行 情况 ,或 者 在 运行 系统 和 后 备 系 统 间 相互 侦 测 ,以 期 发 现 可 
能 的 错误 和 故障 ,进行 严谨 的 判断 与 分 析 , 确 认 主 机 出 错 后 ,启动 后 备 系 统 。 侦 测 程序 需要 
检查 主机 硬件 (处 理 器 与 外 设 部 件 ) .主机 网 络 .操作 系统 、 数 据 库 .重要 应 用 程序 .外 部 存储 
子 系统 (如 磁盘 阵列 ) 等 。 为 了 保证 侦 测 的 正确 性 ,防止 错误 判断 ,系统 可 以 设置 安全 侦 测 时 
间 、 侦 测 时 间 间 隔 、 侦 测 次 数 等 安全 系数 ,通过 宛 余 通信 连 线 ,收集 并 记录 这 些 数 据 , 做 出 分 
析 处 理 。 数 据 可 信 是 切换 的 基础 。 

(2) 自动 切换 (Auto-Switch) : 当 确 认 某 一 主机 出 错时 ,正常 主机 除了 保证 自身 原来 的 
任务 继续 运行 外 ,将 根据 各 种 不 同 的 容错 后 备 模 式 ,接管 预先 设 定 的 后 备 作 业 程 序 , 进 行 后 
续 程 序 及 服务 。 系 统 的 接管 工作 包括 文件 系统 数据库、 系统 环境 (操作 系统 平台 ) 、 网 络 地 
址 和 应 用 程序 等 。 如 果 不 能 确定 系统 出 错 ,容错 监控 中 心 通过 与 管理 者 交互 进行 有 效 的 
处 理 。 

(3) 自动 恢复 (Auto-Recovery) : 故障 主机 被 蔡 换 后 ,离线 进行 故障 修复 。 修 复 后 通过 
元 余 通 信 线 与 正常 主机 连 线 ,继而 将 原来 的 工作 程序 和 磁盘 上 的 数据 自动 切换 回 修复 完成 
的 主机 上 。 这 个 自动 完成 的 恢复 过 程 用 户 可 以 预先 设置 ,也 可 以 设置 为 半自动 或 不 恢复 。 

3. 容错 系统 与 部 件 

在 容错 系统 中 分 为 系统 级 容错 和 部 件 级 容错 ,系统 级 容错 通常 包括 多 种 容错 后 备 模式 ， 
如 系统 热 备 份 等 ,部件 级 容错 多 指 元 余 或 后 备 的 部 件 模式 ,如 磁盘 阵列 等 。 容 错 性 还 体现 在 
网 络 存储 与 数据 转 储 机 制 ,如 磁盘 阵列 (RAID) 技 术 、 磁 盘 双 工 技术 、 磁 盘 镜 像 技 术 ,保证 在 
不 关闭 系统 的 情况 下 ,更 换 磁盘 , 转 储 数据 。 

容错 后 备 模 式 主要 有 下 列 模式 : 

(1) 双 机 双 工 热 备份 (Mutual Backup) 。 

(2) 主 从 热 备份 (Master/Slave)。 

(3) 热 备份 (Hot-Standby)。 

(4) 双 网 卡 单 网 段 (Dual Active/lnet) 。 

(5) 双 网 卡 双 网 段 (Dual Active/2net) 。 

其 中 , 双 机 双 工 热 备份 (Mutual Backup) 的 工作 原理 是 两 机 同时 运行 ,分 不 同 作业 ,各 自 
资源 负载 ,故障 、 接 管 .修复 、 交 还 。 具 体 工作 过 程 是 : 四 双 主 机 通过 一 条 TCP/IP 网 络 线 以 
及 一 条 RS-232 电缆 线 相连 ; 思 双 主机 各 自 通过 一 条 SCSI 电缆 线 与 RAID 磁盘 阵列 相连 ; 
加 双 主 机 各 自 运 行 不 同 的 作业 ,彼此 独立 ,并 相互 备 援 ; @ 主 机 A 故障 后 ,主机 B 自动 接管 
主机 A 运行 ; @ 主 机 A 的 作业 将 在 主机 B 上 自动 运行 ; @ 主 机 A 修复 后 ,主机 B 将 把 A 
的 作业 自动 交还 主机 A; 主机 B 故障 时 ,主机 A 接管 主机 B 的 作业 和 数据 ; @ 主 机 B 修 
复 时 ,主机 A 再 将 原来 接管 的 作业 和 数据 交还 主机 B。 

主 从 热 备 份 (Master/Slave) 的 工作 原理 是 主 从 式 (M/S) ,M 运行 ,S 后备,M 故障 ,S 接 
管 并 升级 为 M, 原 M 修复 后 作为 S。 建 议 两 个 主机 使 用 规格 相同 的 主机 。 具 体 工 作 过 程 
是 : 四 双 主 机 通过 一 条 TCP/IP 网 络 线 以 及 一 条 RS-232 电缆 线 相连 ; @ 双 主机 各 自 通过 一 
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条 SCSI 电缆 线 与 RAID 相连 ; @ 主 机 A 为 Master, 主 机 B 为 Slave; @ 主 机 A 处 理 作 业 和 
数据 ,主机 B 作为 热 备份 机 ; 回 主 机 A 故障 后 ,主机 B 自动 接管 主机 A 的 作业 和 数据 ; 
@ 主 机 B 同时 接管 A 的 主机 名 (Host) 及 网 络 地 址 (IP); @ 主 机 A 的 作业 将 在 主机 B 上 自 
动 运行 ; @ 主 机 A 的 客户 (client) 可 继续 运行 ,无 须 重新 登录 ; @ 主 机 B 现 为 Master, 主机 
A 修复 后 作为 Slave, 作 为 热 备份 机 。 

热 备份 (Hot-Standby) 的 工作 原理 是 M 运行 ,S 后 备 ,M 故障 ,S 接管 作 M, 原 M 修复 ， 
S 归还 M。 例 如 图 10-2 是 网 络 模式 下 双 机 热 备份 的 工作 示意 图 。 
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数据 盘 
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图 10-2 “网络 模 式 下 双 机 热 备份 的 工作 示意 


在 这 种 方案 中 , 需 采 用 双 机 热 备份 软件 ,用 于 提高 服务 器 可 靠 性 。 选 用 离线 数据 备份 及 
灾难 恢复 软件 ,保证 数据 可 靠 性 。 还 需要 用 到 的 硬件 设备 包括 磁带 机 /磁带 库 和 磁盘 阵列 。 

部 件 级 容错 模式 主要 有 下 列 模式 。 

(1) IDE 模式 : 该 模式 仅 支持 两 个 盘 , 如 图 10-3 所 示 。IDE 接口 是 由 Western Digital 
与 COMPAQ Computer 两 家 公司 所 共同 发 展 出 来 的 。 一 般 也 称 IDE 硬盘 为 ATA 硬盘 。 
IDE 接口 有 两 大 优点 : 易于 使 用 与 价格 低廉 。 但 是 随 着 CPU 速度 的 增 快 以 及 应 用 软件 与 
环境 的 日 趋 复杂 ,IDE 的 缺点 也 开始 慢 慢 显现 。 

(2) EIDE 模式 : 该 模式 可 支持 四 个 盘 , 如 图 10-4 所 示 。Enhanced IDE( 加 强 型 IDE, 简 
称 为 EIDE) 就 是 Western Digital 公司 针对 传统 IDE 接口 的 缺点 加 以 改进 之 后 所 推出 的 新 
接口 。 使 用 扩充 CHS(CCylinder-Head-Sector) 或 LBA(Logical Block Addressing) 寻 址 的 方 
式 ,突破 528MB 的 容量 限制 ,使 用 容量 达到 数 十 GB 硬盘 。 最 高 传输 速度 可 高 达 100MB/ 秒 。 

(3) SCSI 模式 : 可 支持 多 个 盘 , 如 图 10-5 所 示 。SCSI 是 一 种 连接 主机 和 外 围 设备 的 
接口 ,支持 包括 磁盘 驱动 器 、 磁 带 机 、 光 驱 、 扫 描 仪 在 内 的 多 种 设备 。 它 由 SCSI 控制 器 进行 
数据 操作 ,SCSI 控制 器 相当 于 一 块 小 型 CPU, 有 自己 的 命令 集 和 缓存 。 


-OO 
0-0 [KO-O [a 


图 10-3 IDE 模式 图 10-4 ”EIDE 模式 图 10-5 SCSI 模 式 
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(4) DAC 模式 : 可 支持 多 分 组 、 多 个 磁盘 ,如 图 10-6 所 示 。 磁 盘 阵 列 (Disk Array) 是 一 
种 外 部 存储 装置 ,以 并 行 方式 在 多 个 硬盘 驱动 器 上 工作 ,被 系统 视 作 一 个 单一 的 硬盘 ,以 元 
余 技 术 增 加 其 可 靠 性 。 


DAC 广 一 一 一 | 


Disk array Disk array 


10-6 DAC 模式 


(5) RAID 系统 : RAID(Redundant Arrays of Inexpensive Disks, 廉 价 磁盘 元 余 阵列 )， 
以 多 个 低 成 本 磁盘 构成 磁盘 子 系统 ,提供 比 单一 硬盘 更 完备 的 可 靠 性 和 高 性 能 。 利 用 重复 
的 磁盘 来 处 理 数 据 , 使 得 数据 的 稳定 性 得 到 提高 。RAID 可 分 为 RAID 级 别 1 到 RAID 级 
别 6, 通常 称 为 : RAID0,RAID1,RAID2,RAID3,RAID4,RAID5,RAID6。 每 一 个 RAID 
级 别 都 有 自己 的 强项 和 弱项 ,其 中 RAID2 至 RAID6 设计 有 奇偶 校 验 功 能 ,保存 用 户 数 据 的 元 
余 信息 ， 当 硬盘 失效 时 , 可 以 重新 产生 数据 。 下 面 以 RAID5 为 例 介绍 RAID 系统 工作 原理 。 

RAID5 又 名 循环 奇偶 校 验 阵列 ,如 图 10-7 所 示 。 数 据 是 以 扇 区 (sector) 交错 方式 存储 
于 各 台 磁 盘 , 校 验 数据 不 固定 在 一 个 磁盘 上 ,而 是 循环 地 依次 分 布 在 不 同 的 磁盘 上 ,也 称 块 
间 插 入 分 布 校 验 。 它 是 目前 采用 最 多 、 最 流行 的 方式 ,至 少 需要 3 个 硬盘 。RAID5 的 读 出 
效率 很 高 , 写 人 效率 一 般 , 块 式 的 集体 访问 效率 不 错 。 因 为 奇偶 校 验 码 在 不 同 的 磁盘 上 ,一 
个 磁盘 失效 ,分布 在 其 他 盘 上 的 信息 足够 完成 数据 重建 ,所 以 提高 了 可 靠 性 。 但 是 它 对 数据 
传输 的 并 行 性 解决 不 好 ,而 且 控 制 器 的 设计 也 相当 困难 。 数 据 重建 会 降低 读 性 能 ; 每 次 计 
算 校 验 信息 , 写 操作 开销 会 增 大 ,是 一 般 存储 操作 时 间 的 3 倍 。 
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图 10-7 RAID5 示意 


10.2 环境 安全 


计算 机 需要 在 适宜 的 环境 条 件 下 才能 正常 工作 ,如 果 太 热 、 太 冷 或 无 保护 地 浸泡 在 水 里 
都 不 能 正常 工作 ,在 这 点 上 计算 机 与 人 类 极其 相似 。 糟 糕 的 是 ,计算 机 也 许可 以 在 不 适宜 的 
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环境 中 继续 工作 ,但 是 会 不 规律 地 产生 一 些 不 正确 的 结果 或 者 破坏 有 价值 的 数据 。 因 此 , 环 
境 对 计算 机 系统 安全 有 着 至 关 重 要 的 作用 , 它 影响 着 计算 机 系统 是 否 能 够 安全 稳定 地 运行 ， 
甚至 影响 到 计算 机 系统 的 使 用 寿命 。 计 算 机 系统 器 件 、 工 艺 、 材 料 等 因素 用 户 无 法 改变 ,但 
工作 环境 是 用 户 可 以 选择 、 决 定 和 改变 的 。 

对 计算 机 安全 有 影响 的 环境 因素 有 很 多 ,例如 火 、 烟 ,灰尘 .地震 ,爆炸 、 温 度 、 自 虫 、 电 子 
噪音 ,闪电 共振 ,湿度 、 水 等 。 我 们 大 致 地 将 环境 因素 分 为 四 类 。 

(1) 安装 条 件 : 计算 机 安装 的 各 种 条 件 , 包 括 场地 安全 、 配 电 与 接地 、 环 境 干扰 与 破坏 。 

(2) 运行 条 件 : 温度 ,湿度 ,电压 ,频率 ,粉尘 、 电 磁场 .空调 等 ,静电 与 感应 电 , 有 害 气 体 。 

(3) 人 为 影响 : 误 操 作 ,盗窃 .故意 破坏 等 。 

(4) 自然 影响 : 雷击 、 火 灾 、 鼠 害 、 虫 害 ( 白 蚁 ) 等 自然 灾害 。 

对 于 上 述 因 素 ,《 计 算 机 场地 通用 规范 ) 国 家 标准 GB/T 2887 一 2000《 电 子 计算 机 机 房 
设计 规范 》GB 50174 一 93《 计 算 站 场地 技术 条 件 )GB 2887 一 89《 计 算 站 场地 安全 要 求 )GB 
9361 一 88 具体 地 对 包括 机 房 位 置 、 布 局、 装修 、 洁 净 与 温 湿 度 、 灾 害 防御 系统 等 因素 提出 了 
建议 。 下 面 重点 对 机 房 安 全 、 配 电 安 全 以 及 设备 互 连 安全 做 一 个 简单 的 介绍 。 


10.2.1 机 房 安 全 

1. 机 房 位 置 及 组 成 

电子 计算 机 机 房 在 多 层 建筑 或 高 层 建筑 物 内 宜 设 于 第 二 、 三 层 , 机 房 位 置 选择 应 符合 下 
列 要 求 。 

(1) 水 源 充足 ,电力 比较 稳定 可 靠 ,交通 通信 方便 ,自然 环境 清洁 。 

(2) 远离 产生 粉尘 .油烟 有 害 气体 以 及 生产 或 贮存 具有 腐蚀 性 、 易 燃 、 易 爆 物品 的 工 
厂 、 仓 库 、 堆 场 等 。 

(3) 远离 强 振 源 和 强 噪声 源 。 

(4) 避 开 强 电磁 场 干 扰 。 当 无 法 避 开 强 电磁 场 干扰 或 为 保障 计算 机 系统 信息 安全 ,可 
采取 有 效 的 电磁 屏蔽 措施 。 

电子 计算 机 机 房 组 成 应 按 计算 机 运行 特点 及 设备 具体 要 求 确定 ,一 般 宜 由 主机 房 、 基 本 
工作 间 、 第 一 类 辅助 房间 、 第 二 类 辅助 房间 、 第 三 类 辅助 房间 等 组 成 。 电 子 计 算 机 机 房 的 使 
用 面积 应 根据 计算 机 设备 的 外 形 尺寸 布置 确定 。 在 计算 机 设备 外 形 尺寸 不 完全 掌握 的 情况 
下 ,电子 计算 机 机 房 的 使 用 面积 应 符合 下 列 规定 。 

一 、 主 机 房 面积 可 按 下 列 方法 确定 。 

1. 当 计算 机 系统 设备 已 选 型 时 ,可 按 下 式 计 算 , 

=KS 

式 中 : A 为 计算 机 主机 房 使 用 面积 (m?); K 为 系数 , 取 值 为 5 一 7; S 为 计算 机 系统 及 辅助 
设备 的 投影 面积 (m? ) 。 

2. 当 计算 机 系统 的 设备 尚未 选 型 时 ,可 按 下 式 计 算 : 

A KN 

式 中 : K 为 单 台 设备 占用 面积 ,可 取 4. 5 一 5.5(Cmz/ 台 ); N 为 计算 机 主机 房 内 所 有 设备 的 总 台数 。 

二 、 基 本 工作 间 和 第 一 类 辅助 房间 面积 的 总 和 , 宜 等 于 或 大 于 主机 房 面积 的 1.5 倍 。 
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三 、 上 机 准备 室 、 外 来 用 户 工作 室 、 硬 件 及 软件 人 员 办 公 室 等 可 按 每 人 3. 5 一 4m2 计算 。 

2. 设备 布置 

计算 机 设备 宜 采 用 分 区 布置 ,一 般 可 分 为 主机 区 、 存 储 器 区 、 数 据 输入 区 、 数 据 输 出 区 、 
通信 区 和 监控 调度 区 等 。 主 机 区 一 般 包括 中 央 处 理 机 柜 、 各 种 扩充 机 柜 、 非 风 冷 中 央 处 理 机 
的 冷媒 分 配 系统 等 ; 存储 器 区 一 般 包括 磁盘 机 、 磁 带 机 、 光 盘 机 等 ; 数据 输入 区 一 般 包括 软 
盘 输入 设备 . 读 卡 机 、 键 盘 输入 设备 等 ; 数据 输出 区 一 般 包 括 各 种 打印 机 、 凿 孔 机 、 绘 图 仪 、 
硬 拷贝 设备 等 ; 通信 区 一 般 包括 通信 控制 器 .调制解调器 、 网 络 控制 器 等 。 具 体 划 分 可 根据 
系统 配置 及 管理 而 定 。 需 要 经 常 监视 或 操作 的 设备 布置 应 便利 操作 。 产 生 尘 埃及 废物 的 设 
备 应 远离 对 尘埃 敏感 的 设备 ,并 宜 集中 布置 在 靠近 机 房 的 回 风 口 处 。 产 生 人 尘埃 及 废物 的 设 
备 主 要 指 各 类 以 纸 为 记录 介质 的 输出 设备 .输入 设备 。 对 尘埃 敏感 的 设备 主要 指 磁 记 录 设 备 。 

主机 房 设备 之 间距 离 需 依据 设备 制造 厂家 技术 手册 给 出 的 维修 间距 ,并 允许 相 邻 设备 
的 维修 间距 部 分 重 琶 的 原则 ,其 次 应 满足 操作 人 员 巡 回 检 查 及 维修 时 放置 测试 仪器 的 需要 。 
主机 房 内 通道 与 设备 间 的 距离 应 符合 下 列 规定 : 

一 、 两 相对 机 柜 正 面 之 间 的 距离 不 应 小 于 1. 5m; 

二 、 机柜 侧 面 (或 不 用 面 ) 距 墙 不 应 小 于 0. 5m, 当 需要 维修 测试 时 , 则 距 墙 不 应 小 于 1. 2m; 

三 、 走 道 净 宽 不 应 小 于 1. 2m。 

3. 机 房 安 全 等 级 

参照 GB 9361 一 88《 计 算 站 场地 安全 要 求 ), 机 房 的 安全 等 级 分 为 A 类 、B 类 和 C 类 三 个 
基本 类 别 。 

(1) A 类: 对 计算 机 机 房 的 安全 有 严格 的 要 求 ,有 完善 的 计算 机 机 房 安 全 措施 。 

(2) B 类 : 对 计算 机 机 房 的 安全 有 和 较 严格 的 要 求 , 有 较 完善 的 计算 机 机 房 安 全 措施 。 

(3) C 类 : 对 计算 机 机 房 的 安全 有 基本 的 要 求 ,有 基本 的 计算 机 机 房 安全 措施 。 

表 10-1 列 出 了 三 个 类 别 的 安全 要 求 。 

表 10-1 机 房 安全 等 级 


安全 类 别 
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防 电磁 泄露 
注 :“ 一 " 表 无 要 求 ;“ 十 "表示 有 要 求 或 增加 要 求 ;“ * "表示 要 求 与 前 级 相同 。 


下 面 以 场地 选择 为 例 介 绍 安全 项 目的 具体 要 求 。 对 于 机 房 的 场地 选择 ,B 类 机 房 的 选 
择 要 求 是 : 
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(1) 应 避 开 易 发 生火 灾 危 险 程度 高 的 区 域 。 


(2) 应 避 开 有 害 气 体 来 源 以 及 存放 腐蚀 、 易 燃 、 易 爆 物 品 的 地 方 。 

(3) 应 避 开 低洼 .潮湿 、 落 雷 区 域 和 地 震 频繁 的 地 方 。 

(4) 应 避 开 强 振动 源 和 强 噪音 源 。 

(5) 应 避 开 强 电磁 场 的 干扰 。 

(6) 应 避免 设 在 建筑 物 的 高 层 或 地 下 室 , 以 及 用 水 设备 的 下 层 或 隔壁 。 

(7) 应 避 开 重 盐 害 地 区 。 

C 类 机 房 无 要 求 ,但 可 参照 B 类 要 求 执行 ; A 类 安全 机 房 除 要 满足 上 述 要 求 外 ,还 应 将 
其 置 于 建筑 物 安全 区 内 。 

4. 机 房 的 三 度 要 求 

机 房 的 三 度 是 指 温度 .湿度 和 洁净 度 , 它 们 是 保障 计算 机 系统 正常 工作 的 基本 运行 条 
件 ,《 计 算 站 场地 安全 要 求 )GB 9361 一 88 中 对 此 三 度 有 明确 的 规定 。 

计算 机 系统 内 的 元 器 件 对 环境 温度 非常 敏感 且 白 身 散热 。 温 度 过 低 , 硬 盘 无 法 启动 ; 
温度 过 高 ,元 器 件 性 能 发 生变 化 ,不 能 正常 工作 。 因 此 ,通常 机 房 温度 控制 在 22 摄氏 度 。 

湿度 同样 会 影响 计算 机 系统 的 正常 运转 。 湿 度 过 高 ,金属 器 件 易 被 腐蚀 , 且 引 起 电气 部 
分 绝缘 性 能 下 降 。 此 外 过 高 的 湿度 还 会 增强 灰尘 的 导电 性 能 ,从 而 电子 器 件 失效 的 可 能 性 
也 随 之 增 大 ; 相反 地 ,湿度 过 低 ,可 能 会 导致 印刷 电路 板 变 形 ,静电 感应 增加 ,严重 时 损坏 芯 
片 , 从 而 给 计算 机 系统 带 来 严重 危害 。 因 此 ,机房 的 相对 湿度 一 般 控制 在 50%。 

开机 时 电子 计算 机 机 房 内 的 温 ,湿度 ,应 符合 表 10-2 的 规定 。 


表 10-2 开机 时 电子 计算 机 机 房 的 温 、 湿 度 


A 级 B 级 
级 别 项 目 
夏季 冬季 全 年 
温度 23 士 2C 20 士 2 18~28'C 
相对 湿度 45%~65% 40%~70% 
温度 变化 率 二 5'C/h 并 不 得 结 露 三 10'C/h 并 不 得 结 露 


停机 时 电子 计算 机 机 房 内 的 温 ,湿度 ,应 符合 表 10-3 的 规定 。 
表 10-3 停机 时 电子 计算 机 机 房 的 温 、 湿 度 


级 别 项 目 A 级 B 级 

温度 5~35C 5~35°C 

相对 湿度 40%~70% 20%~80% 

温度 变化 率 二 5C/h 并 不 得 结 露 二 10'C/h 并 不 得 结 露 


开机 时 主机 房 的 温 、 湿 度 应 执行 A 级 ,基本 工作 间 可 根据 设备 要 求 按 A、B 两 级 执行 ， 
其 他 辅助 房间 应 按 工艺 要 求 确定 。 

灰尘 过 多 对 计算 机 元 器 件 会 产生 很 多 危害 ,例如 ,导致 插件 的 接触 不 良 ,降低 元 件 的 散 
热效率 和 电器 元 件 的 绝缘 性 能 。 因 此 ,通常 要 求 机 房 内 尘埃 颗粒 直径 小 于 0. 5sm, 空气 中 
的 颗粒 不 超过 10 000( 粒 /dms ) 。 

为 了 达到 上 述 规定 的 要 求 ,空调 系统 .去 湿 机 以 及 除尘 器 是 必 不 可 少 的 机 房 设 备 。 要 保 
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持 机 房 的 清洁 卫生 ,必要 时 除湿 或 增 湿 。 

5. 机 房 的 安全 防护 

机 房 的 安全 防护 主要 是 针对 自然 灾害 以 及 人 为 蓄意 破坏 采取 的 安全 措施 ,通常 是 指 防 
火 、 防 水 .防盗 等 。 因 此 ,机 房 内 应 配备 相应 的 火灾 报警 系统 、 消 防 设施 和 防盗 系统 。 

参照 (计算 站 场地 安全 要 求 )GB 9361 一 88,A、B 类 安全 机 房 应 设置 火灾 报警 装置 。 在 
机 房 内 、 基 本 工作 房间 内 、 活 动 地 板 下 .吊顶 里 ,主要 空调 管道 中 及 易 燃 物 附 近 部 位 应 设置 
烟 、 温 感 探测 器 。 

A 类 安全 机 房 应 设置 讽 代 烷 1211、1301 自动 消防 系统 ,并 备 有 讽 代 烷 1211、1301 灭火 
器 。B 类 安全 机 房 在 条 件 许 可 的 情况 下 ,应 设置 讽 代 烷 1211、1301 自动 消防 系统 ,并 备 有 协 
代 烷 1211、1301 灭火 器 。C 类 安全 机 房 内 应 设置 讽 代 烷 1211 或 1301 灭火 器 。A、B、C 类 
计算 机 机 房 除 纸 介质 等 易 燃 物质 外 ,禁止 使 用 水 .干粉 或 泡沫 等 易 产 生 二 次 破坏 的 灭火 剂 。 

防盗 系统 应 具备 监视 ,报警 .记录 、 锁 定 功 能 。 为 了 防止 人 为 破坏 ,机 房 大 楼 除 必要 的 门 
卫 24 小 时 警卫 外 ,重要 部 位 还 需要 警卫 系统 ,用 于 防止 有 人 通过 门窗 闯 入 。 对 于 门窗 防盗 
除 采用 安全 门 锁 外 ,还 可 以 采用 电磁 式 的 防盗 报警 系统 。 对 于 秘密 级 以 上 的 文件 资料 和 记录 
媒体 的 保存 ,应 有 安全 可 靠 的 保险 柜 和 保险 箱 ,钥匙 和 密码 号 应 有 专人 负责 ,以 防 丢失 和 被 资 。 

鼠 虫 害 也 是 造成 计算 机 设备 特别 是 网 络 设备 故障 的 原因 之 一 ,主要 是 鼠 虫 咬 坏 电缆 引 
起 通信 中 断 或 电源 短路 。 解 决 的 方法 有 : 四 堵塞 鼠 虫 洞口 ; @ 在 易 受 鼠 虫 害 的 场所 ,机 房 
内 的 电缆 和 电线 上 应 涂 敷 驱 鼠 虫 药 剂 ; @ 在 计算 机 机 房 内 应 设置 捕 鼠 虫 或 驱 鼠 虫 装置 , 投 
放 毒 饵 。 


10.2.2 电气 安全 


机 房 的 配 电 与 接地 的 问题 是 计算 机 正常 工作 的 基本 因素 。 影 响 电源 可 靠 性 因素 很 多 ， 
如 电压 瞬 变 . 断 电 、 欠 压 、 过 压 \、 频 率 稳定 和 电源 干扰 等 ,电压 和 频率 可 以 通过 各 种 稳 频 稳 压 
设备 解决 ,电源 干扰 可 以 通过 良好 的 接地 解决 。 电 压 瞬 变 在 1 个 周期 或 30 个 周期 ( 半 秒 ) 
内 ,电压 降 至 0 然后 又 回升 , 正 负 电压 尖峰 持续 几 微 秒 或 者 一 个 周期 。 频 繁 断 电 和 突然 停电 
将 会 对 计算 机 系统 和 其 中 的 电压 敏感 部 件 造成 很 大 影响 ,持续 发 生 将 使 部 件 损坏 。 而 欠 压 
和 过 压 都 会 对 负载 产生 重要 影响 。 

1. 配 电 系统 

电子 计算 机 机 房 用 电 负 荷 等 级 及 供电 要 求 按 现行 国家 标准 4 供 配 电 系统 设计 规范 》 的 规 
定 执行 。 电 子 计算 机 供电 电源 质量 根据 电子 计算 机 的 性 能 、 用 途 和 运行 方式 (是 否 联网 ) 等 
情况 ,可 划分 为 A、B、C 三 级 ( 见 表 10-4)。 


表 10-4 供电 电源 质量 分 级 


等 级 
需 自 A B C 
稳 态 电压 偏 移 范围 /% 二 二 十 7 一 13 
稳 态 频率 偏 移 范围 /Hz 二 0. 光 士 0.5 去] 
电压 波形 畸变 率 /% 3~5 5~8 8~10 
允许 断 电 持续 时 间 /ms 0 一 4 4 一 200 200 一 1500 
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电子 计算 机 机 房 供 配 电 系 统 应 考虑 计算 机 系统 有 扩散 、 升 级 等 可 能 性 ,并 应 预 留 备 用 容 
量 。 具 体 要 求 如 下 : 

(1) 电子 计算 机 机 房 宜 由 专用 电力 变压器 供电 。 由 于 电子 计算 机 机 房 供电 可 靠 性 要 求 
较 高 ,为 了 防止 其 他 负荷 对 电源 的 干扰 ,及 维护 运行 管理 上 的 方便 , 当 机 房 用 电容 量 较 大 时 ， 
一 般 设置 专用 电力 变压器 供电 。 当 机 房 用 电容 量 较 小 时 ,也 可 采取 专用 低压 馈 电 线路 供电 。 

(2) 机 房 内 其 他 电力 负荷 不 得 由 计算 机 主机 电源 和 不 间断 电源 系统 供电 。 机 房 其 他 电 
力 负荷 系 指 非 计算 机 用 电 负 荷 ,如 空调 器 、 通 风机、 吸尘器 .电梯 、 电 烙铁 .电焊 机 维修 电 动 
工具 等 。 为 了 防止 它们 对 计算 机 的 干扰 ,保证 计算 机 电源 系统 不 受 污染 ,应 禁止 使 用 计算 机 
电源 系统 供电 ,更 不 得 接 入 交流 不 间断 电源 系统 供电 。 机 房 内 一 般 工作 照明 和 应 急 照明 均 
应 由 单独 的 低压 照明 线路 供电 。 

为 便于 维护 管理 和 安全 运行 ,机 房 内 一 般 设置 专用 动力 配 电 箱 。 

(3) 当 电 子 计算 机 供电 要 求 具有 下 列 情况 之 一 时 ,应 采用 交流 不 间断 电源 系统 供电 : 

QO@ 对 供电 可 靠 性 要 求 较 高 ,采用 备用 电源 自动 投入 方式 或 柴油 发 电机 组 应 急 自 启动 方 
式 等 仍 不 能 满足 要 求 时 。 

@ 一 般 稳 压 稳 频 设备 不 能 满足 要 求 时 。 

@ 需要 保证 顺序 断 电 安全 停机 时 。 

@ 电子 计算 机 系统 实时 控制 时 。 

@ 电子 计算 机 系统 联网 运行 时 。 

交流 不 间断 电源 装置 是 设置 在 正常 工作 电源 和 电子 计算 机 之 间 的 隔离 缓冲 设备 。 需 要 
连续 供电 的 重要 负荷 ,在 正常 工作 电源 发 生 故 障 而 短 时 不 能 恢复 时 ,交流 不 间断 电源 可 替换 
故障 的 工作 电源 暂时 维持 连续 供电 ,并 具有 改善 电源 质量 和 隔离 消除 干扰 的 作用 。 一 般 蓄 
电池 的 容量 可 按 满 负荷 供电 10 一 15min 选用 。 

应 按照 现行 国家 标准 (不 间断 电源 设备 )、 现 行 国际 电工 标准 (不 间断 电源 技术 性 能 标定 
方法 和 试验 要 求 ) 及 有 关 产 品 技术 条 件 和 用 电 负 荷 性 质 要 求 等 确定 交流 不 间断 电源 系统 。 
由 于 不 间断 电源 设备 购置 费用 和 日 常 维护 运行 费用 晶 贵 ,选用 时 必须 进行 多 方面 的 分 析 比 较 。 

(4) 当 采 用 表态 交流 不 间断 电源 设备 时 ,应 按 现 行 国 家 标准 《 供 配 电 系统 设计 规范 》 和 
现行 有 关 行 业 标 准 规定 的 要 求 ,采取 限制 谐 波 分 量 措施 。 

静态 交流 不 间断 电源 对 城市 交流 电网 是 一 种 非 线 性 负荷 。 在 它 的 交流 输入 侧 有 大 量 谐 
波 电 流 反馈 到 电网 ,使 电网 遭受 严重 污染 。 

(5) 当 城 市 电网 电源 质量 不 能 满足 电子 计算 机 供电 要 求 时 ,应 根据 具体 情况 采用 相应 
的 电源 质量 改善 措施 和 隔离 防护 措施 。 

当 城 市 电网 电源 质量 不 能 满足 要 求 时 ,应 根据 具体 工程 技术 要 求 ,结合 当地 情况 ,经 技 
术 经 济 分 析 ,采用 一 种 或 数 种 组 合 的 .有 针对 性 的 电源 隔离 防护 措施 。 例 如 滤波 器 能 滤 除 电 
源 中 某 些 高 频 噪声 , 浪 涌 吸 收 器 能 吸收 浪 涌 电 压 ,隔离 变压器 能 隔离 除去 一 个 持续 时 间 非 常 
短 的 高 频 瞬 变 信号 , 铁 磁 稳 压 变 压 器 具有 稳 压 和 滤波 的 功能 ,飞轮 发 电机 组 可 以 很 有 效 地 消 
除 大 部 分 瞬 变 信号 和 短 时 的 电压 偏差 。 最 完善 可 靠 的 办 法 还 是 选用 交流 不 间断 电源 设备 。 
它 能 够 使 计算 机 负荷 或 其 他 重要 负荷 与 城市 电网 隔离 开 , 消 除 电压 和 频率 的 偏差 及 各 种 干扰 。 

(6) 电子 计算 机 机 房 低压 配 电 系统 应 采用 频率 50Hz、 电 压 220/380VTN-S 或 TN-C-S 
系统 。 电 子 计算 机 主机 电源 系统 应 按 设 备 的 要 求 确定 。 
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(7) 单 相 负 荷 应 均匀 地 分 配 在 三 相 线路 上 ,并 应 使 三 相 负荷 不 平衡 度 小 于 20%。 为 保 
证 电源 运行 时 三 相 平衡 ,设计 时 应 尽 可 能 将 单 相 负荷 均匀 分 配 在 各 相 上 。 电 子 计算 机 机 房 
低压 配 电 系 统 的 三 相 负 荷 不 平衡 度 应 控制 在 5% 一 20%。 

(8) 电子 计算 机 电源 设备 应 靠近 主机 房 设备 。 为 减 小 线路 压 降 ,减少 线路 干扰 和 便于 
维护 管理 ,计算 机 电源 设备 (如 交流 稳 压 器 .电源 滤波 器 、 隔 离 变压器 .不 间断 电源 、 蓄 电池 
等 ) 除 各 种 发 电机 组 外 , 均 应 靠近 主机 房 布置 。 

(9) 电子 计算 机 机 房 电 源 进 线 应 按 现行 国家 标准 (建筑 防 雷 设计 规范 ) 采 取 防 雷 措施 。 
电子 计算 机 机 房 电 源 应 采用 地 下 电缆 进 线 。 当 不 得 不 采用 架空 进 线 时 ,在 低压 架空 电源 进 
线 处 或 专用 电力 变压器 低压 配 电 母 线 处 ,应 装 设 低压 避雷 器 。 

为 防止 闪电 雷击 及 操作 过 电压 对 设备 造成 的 危害 ,电子 计算 机 机 房 电源 进 线 宜 采用 地 
下 直接 埋设 电缆 。 当 采用 架空 进出 线 时 ,在 低压 架空 电源 进 线 处 或 专用 电力 变压器 低压 配 
电 母 线 处 应 装 设 低压 避雷 器 。 主 机 房 专用 动力 配 电 箱 内 低压 配 电 母线 上 宜 装 设 浪 涌 吸 收 装 
置 ( 如 压 敏 电阻 等 ) ,以 消除 线路 上 产生 的 瞬时 高 压 尖 峰 脉 冲 。 

(10) 主机 房 内 应 分 别 设置 维修 和 测试 用 电源 插座 ,两 者 应 有 明显 区 别 标志 。 测 试用 电 
源 插座 应 由 计算 机 主机 电源 系统 供电 。 其 他 房间 内 应 适当 设置 维修 用 电源 插座 。 

分 别 设置 测试 与 维修 用 插座 的 目的 是 避免 维修 用 手动 工具 误 插入 测试 插座 内 影响 计算 
机 正常 运行 。 

(11) 主机 房 内 活动 地 板 下 部 的 低压 配 电线 路 宜 采 用 铜 芯 屏 项 导线 或 铜 芯 屏蔽 电缆 。 
主机 房 内 低压 配 电 线路 供电 可 靠 性 和 抗 干扰 性 要 求 较 高 ,一 般 采用 铜 芯 屏 蔽 导线 或 电缆 。 

(12) 活动 地 板 下 部 的 电源 线 应 尽 可 能 远离 计算 机 信号 线 , 并 避免 并 排 数 设 . 当 不 能 避 
免 时 ,应 采取 相应 的 屏蔽 措施 。 

2. 接地 系统 


电子 计算 机 机 房 接 地 装置 的 设置 应 满足 人 身 的 安全 及 电子 计算 机 正常 运行 和 系统 设备 
的 安全 要 求 。 接 地 分 为 环境 接地 和 设备 接地 。 环 境 接地 包括 楼 层 网 格 接地 、 水 管 、 铜 板 或 网 
格 接 地 等 。 不 允许 采用 避雷 线 ,煤气 管道 等 做 接地 线 。 设 备 接地 包括 各 种 电气 电子 设备 为 
安全 防护 进行 的 接地 。 接 地 电阻 随 季节 而 变化 ,要 综合 考虑 。 参 见 ( 电 子 计算 机 线性 滤波 器 
设置 标准 》。 

整个 接地 系统 中 包含 了 如 下 方式 : 


大 地 a 人 全 3 
保护 地 中 线 ( 零 线 ) ”公共 参考 点 
箱 体 箱 壳 地 公共 地 
安全 地 直流 地 
电子 计算 机 机 房 应 采用 下 列 四 种 接地 方式 : 
(1) 交流 工作 接地 ,接地 电阻 不 应 大 于 40 。 
(2) 安全 工作 接地 ,接地 电阻 不 应 大 于 40 。 
(3) 直流 工作 接地 ,接地 电阻 应 按 计 算 机 系统 具体 要 求 确定 。 
(4) 防 雷 接地 、 应 按 现行 国家 标准 (建筑 防 雷 设计 规范 ) 执 行 。 


第 10 章 ”环境 与 系统 安 


接地 具体 要 求 如 下 : 

(1) 交流 工作 接地 安全 工作 接地 、 直 流 工作 接地 、 防 雷 接地 等 四 种 接地 宜 共 用 一 组 接 
地 装置 ,其 接地 电阻 按 其 中 最 小 值 确定 ; 若 防 雷 接地 单独 设置 接地 装置 时 ,其 余 三 种 接地 宜 
共用 一 组 接地 装置 ,其 接地 电阻 不 应 大 于 其 中 最 小 值 ,并 应 按 现行 国家 标准 《建筑 防 雷 设计 
规范 ) 要 求 采取 防止 反击 措施 。 

为 了 防止 雷击 电压 对 电子 计算 机 系统 设备 产生 反击 ,要求 防 雷 装置 与 其 他 接地 物体 之 
间 保 持 足 够 的 安全 距离 ,但 在 工程 设计 中 有 了 时 很 难 做 到 。 如 多 层 建筑 的 防 雷 接地 一 般 利 用 
钢筋 混凝土 中 的 钢筋 作为 接地 线 和 接地 体 ,无 法 满足 与 其 他 接地 体 之 间 保 持 安全 距离 的 要 
求 ,可 能 产生 反击 现象 ,而 采用 共用 一 组 接地 体 , 降 低 了 雷击 时 相互 间 的 电位 差 ,可 以 防止 这 
种 反击 现象 ,保证 人 员 和 计算 机 设备 的 安全 。 共 用 接地 装置 的 接地 电阻 应 按 最 小 值 的 一 种 
要 求 确定 ,并 按 现 行 国家 标准 (建筑 防 雷 设计 规范 ) 的 要 求 采取 相应 措施 。 

当 工 程 能 满足 防 雷 接地 装置 的 接地 体 与 其 他 接地 体 之 间 安 全 距离 的 要 求 时 ,可 单独 设 
置 防 雷 接地 的 接地 装置 。 

(2) 对 直流 工作 接地 有 特殊 要 求 需 单独 设置 接地 装置 的 电子 计算 机 系统 ,其 接地 电阻 
值 及 与 其 他 接地 装置 的 接地 体 之 间 的 距离 ,应 按 计 算 机 系统 及 有 关 规 定 的 要 求 确 定 。 

电子 计算 机 各 种 不 同 机 型 对 直流 工作 接地 电阻 值 及 接地 方式 的 要 求 各 异 ,接地 体 之 间 
的 距离 ,应 按 产 品 说 明 书 的 要 求 及 有 关 规 范 的 规定 确定 。 

(3) 电子 计算 机 系统 的 接地 应 采取 单 点 接地 并 宜 采 取 等 电位 措施 。 

为 了 避免 对 电子 计算 机 系统 的 电磁 干扰 , 宜 采用 将 多 种 接地 的 接地 线 分别 接 到 接地 母 
线 上 ,由 接地 母线 采用 一 根 接地 线 单 点 与 接地 体 相 连接 的 单 点 接地 方式 。 由 计算 机 设备 至 
接地 母线 的 连接 导线 应 采用 多 股 编 织 铜 线 , 且 应 尽量 缩短 连接 距离 ; 并 采取 格 栅 等 措施 , 尽 
量 使 各 接地 点 处 于 同一 等 电位 上 。 

(4) 当 多 个 电子 计算 机 系统 共用 一 组 接地 装置 时 ,家 将 各 电子 计算 机 系统 分 别 采 用 接 
地 线 与 接地 体 连 接 。 

多 个 电子 计算 机 系统 中 的 接地 系统 , 除 各 电子 计算 机 系统 单独 采用 单 点 接地 方式 外 ,也 
可 共用 一 组 接地 装置 。 为 避免 相互 干扰 ,应 将 各 电子 计算 机 系统 的 接地 母线 分 别 采用 接地 
线 直 接 与 共用 接地 装置 的 接地 体 相连 接 。 

地 线 的 具体 要 求 如 下 : 

(1) 电源 接 插座 的 地 线 。 

在 三 相 四 线 电 源 供电 方式 中 ,三 根 相 线 被 标 为 “火线 ?L(light 或 live) ,一 根 中 线 被 标 为 
“ 零 线 ?NCneutral) 。 按 照 我 国 的 配 电 方式 , 单 相 供电 两 孔 插座 设置 为 “ 左 零 碳 火 ”, 单 相 三 孔 
插座 还 加 上 了 一 根 * 地 线 ” ,这 根 地 线 是 真正 的 大 地 线 , 必 须 接 人 大 地 ,而 不 能 接 人 零 线 。 

(2) 交流 电源 的 地 线 。 

在 三 相 四 线 电源 供电 方式 中 ,中 线 ( 零 线 ) 不 是 地 线 , 它 的 接地 点 通常 是 在 变 电 所 的 中 线 
处 ,只 有 当 三 相 平衡 时 ,中 线 电 流 才 等 于 0。 然 而 ,用 户 的 用 电 是 随机 的 ,依靠 假 负载 的 自动 
调节 ,最 多 只 能 是 动态 的 相对 平衡 。 由 于 三 相 很 难 绝对 平衡 ,因此 ,这 个 中 线 ( 假 “地 ”) 是 在 
不 断 波动 的 。 实 际 上 ,中 线 上 的 电流 往往 不 小 ,而 且 , 由 于 中 线 的 铜 阻 , 它 对 大 地 间 存 在 “中 
线 电 压 ”。 如 果 把 交流 电源 的 中 线 当 做 地 线 , 或 者 与 机 箱 、 机 这 相连 ,是 不 妥当 的 。 当 电源 插 
头 反 插 , 将 形成 机 箱 、 机 这 带电 ,形成 危险 。 
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3. 电源 系统 安全 标准 

国标 GB 2887 一 2000 和 GB 9361 一 88 对 机 房 安 全 配 电 做 了 明确 的 要 求 。GB 2887 
2000 将 供电 方式 分 为 三 类 ,分 别 如 下 。 

(1) 一 类 供电 : 建立 不 间断 供电 系统 。 

(2) 二 类 供电 : 建立 带 备 用 的 供电 系统 。 

(3) 三 类 供电 : 一 般 用 户 供电 。 

GB 3961 一 88 中 规定 A、B 类 机 房 应 满足 下 列 要 求 。 

(1) 计算 站 应 设 专用 可 靠 的 供电 线路 。 

(2) 计算 机 系统 的 电源 设备 应 提供 稳定 可 靠 的 电源 。 

(3) 供电 电源 设备 的 容量 应 具有 一 定 的 余 量 。 

(4) 计算 机 系统 的 供电 电源 技术 指标 应 按 GB 2887《 计 算 站 场地 技术 要 求 ) 中 的 第 9 章 
的 规定 执行 。 

(5) 计算 机 系统 独立 配 电 时 , 宜 采 用 干 式 变压器 。 安 装 油 浸 式 变压器 时 应 符合 GBJ 
232《 电 气 装置 安装 工程 规范 ) 中 的 规定 。 

(6) 从 电源 室 到 计算 机 电源 系统 的 分 电 盘 使 用 的 电缆 , 除 应 符合 GB 232 中 配 线 工程 中 
的 规定 外 , 载 流量 应 减少 50%。 

(7) 计算 机 系统 用 的 分 电 盘 应 设置 在 计算 机 机 房 内 ,并 应 采取 防 触 电 措施 。 

(8) 从 分 电 盘 到 计算 机 系统 的 各 种 设备 的 电缆 应 为 耐 燃 铜 芯 屏 蔽 的 电缆 。 

(9) 计算 机 系统 的 各 设备 走 线 不 得 与 空调 设备 ,电源 设备 的 无 电磁 屏蔽 的 走 线 平行 。 
交叉 时 ,应 尽量 以 接近 于 垂直 的 角度 交叉 ,并 采取 防 延 燃 措施 。 

(10) 计算 机 系统 应 选用 铜 芯 电 缆 , 严 禁 铜 、 铝 混用 。 若 不 能 避免 时 ,应 采用 铜 铝 过 渡头 
连接 。 

(11) 计算 机 电源 系统 的 所 有 接点 均 应 镀铬 锡 处 理 , 冷 压 连接 。 

(12) 在 计算 机 机 房 出 入 口 处 或 值班 室 ,应 设置 应 急电 话 和 应 急 断 电 装置 。 

(13) 计算 站 场地 宜 采 用 封闭 式 蓄电池 。 

(14) 使 用 半 封 闭 式 或 开启 式 蓄电池 时 ,应 设 专用 房间 。 房 间 墙 壁 \ 地 板 表 面 应 做 防腐 
蚀 处 理 , 并 设置 防爆 灯 、 防 爆 开关 和 排 风 装置 。 

(15) 计算 机 系统 接地 应 采用 专用 地 线 。 专 用 地 线 的 引线 应 和 大 楼 的 钢筋 网 及 各 种 金 
属 管道 绝缘 。 

(16) 计算 机 系统 的 几 种 接地 技术 要 求 及 诸 地 之 间 的 相互 关系 应 符合 GB 2887 中 的 
规定 。 

(17) 计算 机 机 房 应 设置 应 急 照 明和 安全 口 的 指示 灯 。 

C 类 安全 机 房 应 满足 GB 2887 中 规定 的 三 类 供电 要 求 。 


10.2.3 设备 互 连 与 安全 性 


如 果 计 算 机 设备 不 互 连 或 者 互 连 设备 和 计算 机 系统 设备 都 锁 在 同一 间 屋 子 里 ,那么 设 
备 互 连 相 对 而 言 是 比较 安全 的 。 然 而 设备 互 连 的 通信 线路 往往 连接 到 室外 ,这 样 安 全 问题 
就 产生 了 。 首 先是 通信 线路 的 安全 ,其 次 是 通信 互 连 设备 的 安全 。 

对 于 通信 线路 的 安全 ,现在 是 通过 一 种 简单 而 昂贵 的 技术 加 压 电线 来 实现 物理 安全 。 
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该 技术 的 基本 原理 是 : 将 通信 电缆 密封 在 塑料 套 管 中 , 并 在 电缆 的 两 端 充 气 加 压 。 电 缆 线 
上 连接 了 可 测量 线 缆 压 力 的 报警 监视 器 。 如 果 压 力 下 降 ,技术 人 员 可 检测 到 破坏 点 位 置 ,以 
便 及 时 修复 。 光 纤 线 缆 没有 电磁 辐射 , 且 断 破 处 易 被 检测 ,因此 人 们 一 度 认为 光纤 通信 线 很 
安全 。 但 光纤 的 最 大 长 度 有 限制 ,需要 一 个 信号 复制 转换 器 ,将 光 信号 转换 成 电 脉冲 ,然后 
再 恢复 为 光 脉 冲 , 输 入 到 另 一 条 光纤 继续 传输 。 因 为 对 手 可 以 在 信号 复制 转换 器 处 窃听 信 
号 ,所 以 光纤 线路 通信 也 不 是 100% 的 安全 。 为 了 解决 这 个 问题 ,通常 距离 大 于 最 大 长 度 限 
制 的 系统 之 间 不 采用 光纤 通信 ; 或 者 在 信号 复制 转换 器 采用 警报 系统 、 加 压 电 缆 等 措施 。 

通信 互 连 设备 主要 有 通信 交换 设备 (交换 机 ,程控 机 )、 网 络 互 连 设备 (如 调制 解 调 器 、 中 
继 器 ,集线器 网 桥 、 路 由 器 、 网 关 等 ) ,存储 设备 等 ,在 网 络 系 统 集成 中 ,它们 的 可 靠 性 和 安全 

在 考虑 网 络 互联 设备 安全 时 ,必须 注意 互 连 设备 及 其 工作 层次 。 下 面 列 出 网 络 各 层 相 
关 的 互 连 设 备 。 

物理 层 : 中 继 器 (repeater) .集线器 (hub) 。 

链 路 层 : 网 桥 (bridge) 、 桥 路 器 (brouter) 、 交 换 机 (switcher) 。 

网 络 层 ; 路 由 器 (router) .路 桥 器 (roudger) 。 

传输 层 : 网 关 (gateway) 、 防 火 墙 (firewall)。 

1. 中 继 器 及 物理 层 的 安全 性 

中 继 器 作为 一 个 双向 放大 器 用 于 驱动 长 距离 通信 ,只 能 用 于 连接 具有 相同 物理 层 协议 
的 局 域 网 ,主要 用 于 扩充 LAN 电缆 段 (Segment) 的 距离 限制 。 它 不 具有 安全 功能 ,不 具备 
任何 过 滤 功能 ,不 能 隔离 网 段 间 不 必要 的 网 络 流量 和 网 络 信息 。 

2. 网 桥 及 链 路 层 的 安全 性 

网 桥 通过 数据 链 路 层 的 逻辑 链 路 子 层 (LLC) 来 选择 子 网 路 径 ,接收 完 全 的 链 路 层 数据 
帧 ,并 对 帧 作 校 验 ,同时 ,在 源 地 址 表 中 查找 介质 存 取 控制 子 层 (MAC) 的 源 和 目的 地 址 ,以 
决定 该 帧 是 否 转 发 或 者 丢弃 。 网 桥 通 过 存储 转发 功能 实现 信息 帧 交换 ,通过 自学 习 功 能 建 
立 源 MAC 地 址 表 , 从 而 在 逻辑 上 分 开 网 络 段 ,减轻 各 个 逻辑 网 段 上 的 流量 。 

网 桥 通过 MAC 地 址 判断 选 径 ,实现 数据 链 路 层 上 的 数据 分 流 ,隔离 功 能 较 弱 。 安 全 性 
弱点 在 于 可 能 导致 “广播 风暴 ”(Broadcast Storm) ,如 果 一 个 帧 的 源 地 址 是 网 桥 未 学 习 过 的 
MAC 地 址 , 它 会 将 该 帧 转发 到 它 所 连接 的 所 有 局 域 网 上 ,从 而 产生 大 量 的 扩散 帧 。 而 且 ， 
它 无 法 解决 同一 介质 网 络 段 上 可 能 出 现 的 具有 不 同 IP 子 网 号 的 主机 之 间 的 互 访问 题 。 

3. 路 由 器 及 网 络 层 的 安全 性 

路 由 器 完成 网 内 地 址 选 径 , 防 止 网 内 “广播 风暴 ”的 产生 ,也 能 实现 不 同 或 者 相同 局 域 网 
段 上 不 同 IP 网 号 或 者 子 网 号 主机 间 的 互 访 ,并 提供 远程 互 连 。 由 于 它 涉及 物理 、 数 链 、 网 络 
三 个 层次 数据 处 理 , 处 理 时 间 长 (延迟 约 100 一 500ms), 且 价格 昂贵 。 路 由 器 的 隔离 功能 强 
于 网 桥 ,通过 自学 习 和 人 工 设置 方式 对 数据 进行 严格 过 滤 。 

给 网 桥 加 上 类 似 于 路 由 器 的 隔离 功能 ,使 其 能 够 阻拦 网 间 不 必要 的 信息 交换 ,就 可 以 防 
止 “广播 风暴 ”。 将 路 由 器 的 某 些 思想 、 实 现 方法 用 于 网 桥 , 就 形成 了 所 谓 “ 桥 路 器 ” 
(Brouter) ,而 将 路 由 器 内 部 对 IP 地 址 的 操作 改 为 对 MAC 地 址 的 操作 ,就 形成 了 所 谓 “ 过 滤 
网 桥 ” ,也 称 “ 路 桥 器 "”。 它 通过 信息 过 滤 ( 避 免 无 用 信息 广播 传送 ) 和 权限 设 定 (防止 无 权 用 
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户 访问 主 网 和 其 他 网 络 资源 ) 来 增强 安全 性 。 
4. 交换 机 及 链 路 层 的 安全 性 


由 于 路 由 器 的 配置 技术 和 管理 技术 较 复杂 ,成 本 昂贵 ,数据 处 理 时 间 延 迟 较 大 ,在 一 定 
程度 上 降低 了 网 络 性 能 。 此 外 ,在 局 域 网 中 使 用 路 由 器 的 局 限 性 促进 了 交换 式 以 太 网 技术 
的 发 展 , 导 致 了 交换 机 对 路 由 器 的 替换 。 交 换 机 工作 在 数据 链 路 层 , 可 看 作 网 桥 的 硬件 延 
伸 ,该 层 中 数据 交换 在 硬件 中 完成 ,因而 可 以 实现 比较 高 的 交换 速度 。 

5. 网 关 及 网 络 高 层 的 安全 性 

网 关 并 没有 确定 的 实际 产品 ,目前 ,安全 重点 研究 的 防火 墙 ,实际 就 是 一 种 带 有 不 同 过 
滤器 的 网 关 。 

6. 调制 解 调 器 的 安全 性 

调制 解 调 器 是 拨号 上 网 的 关键 设备 之 一 。 调 制 解 调 器 的 主要 安全 漏洞 在 于 它 提供 了 用 
户 网 络 的 另 一 个 人 口 点 ,因为 有 电话 和 调制 解 调 器 的 任何 人 都 可 能 非法 进入 网 络 系统 。 对 
于 安全 性 要 求 较 高 的 内 部 网 ,应 该 严格 控制 拨号 上 网 服务 ,并 应 该 有 严格 的 身份 验证 系统 来 
保证 其 安全 。 如 果 一 个 黑客 通过 拨号 服务 器 登录 到 用 户 的 网 络 中 ,那么 他 就 可 以 窃听 到 用 
户 的 内 部 网 络 信息 。 

增强 拨号 上 网 安全 性 的 手段 主要 有 : 

(1) 不 要 把 拨号 号 码 广 泛 流 传 ,只 把 号 码 告诉 需要 使 用 该 服务 的 人 。 

(2) 使 用 用 户 名 和 口令 来 保护 拨号 服务 器 。 口 令 可 以 是 静态 的 ,但 最 好 是 一 次 性 口令 。 
用 户口 令 要 妥善 保管 。 

(3) 在 一 些 特 殊 情 况 下 ,应 建立 基于 位 置 的 严格 的 身份 验证 机 制 。 这 种 身份 验证 机 制 
要 求 用 户 必须 在 规定 的 位 置 进 行 拨号 入 网 ,其 他 位 置 的 拨号 入网 都 会 被 拒绝 。 

(4) 使 用 安全 性 好 的 调制 解 调 器 ,如 回 拨 调 制 解 调 器 .安静 调制 解 调 器 。 前 者 在 连接 时 
要 求 用 户 输入 用 户 名 和 口令 ,然后 它 会 断 开 连接 ,并 查找 该 用 户 的 合法 的 电话 号 码 ,然后 , 回 
拨 调 制 解 调 器 会 回 拨 到 该 电话 号 码 ,并 建立 起 连接 。 之 后 ,用 户 就 可 以 输入 用 户 名 和 口令 而 
进入 该 系统 。 后 者 在 登录 完成 之 前 不 会 发 出 特殊 的 连接 建立 信号 ,这 可 以 防止 有 人 按 顺序 
搜索 计算 机 拨号 系统 的 电话 号 码 。 

(5) 在 局 域 网 上 加 一 个 用 于 身份 核实 的 服务 器 ,只 有 用 户 身份 被 该 服务 验证 后 才 允 许 
用 户 进入 该 系统 ,并 且 服 务 器 可 以 对 登录 情况 进行 审计 。 

(6) 严格 控制 拨号 接 人 服务 器 的 开放 时 间 , 只 在 使 用 时 段 开 放 , 其 他 时 段 要 确保 服务 器 
已 被 关闭 。 


10.2.4 噪声 .电磁 干扰 、 振 动 及 静电 


关于 噪声 .电磁 干扰 、 振 动 及 静电 应 注意 以 下 几 点 。 

(1) 主机 房 内 的 噪声 ,在 计算 机 系统 停机 条 件 下 ,在 主 操作 员 位 置 测量 应 小 于 68dB(A) 。 

噪声 测量 方法 应 符合 现行 国家 标准 (工业 企业 噪声 测量 规范 ?的 规定 。 

(2) 主机 房 内 无 线 电 干扰 场 强 ,在 频率 为 0.15MHz 一 1000MHz 时 ,不 应 大 于 126dB。 

(3) 主机 房 内 磁场 干扰 环境 场 强 不 应 大 于 800A/m。 这 是 指 外 界 的 无 线 电 干扰 场 强 和 
磁场 对 主机 房 的 辐射 干扰 。 即 在 主机 房 内 、 计 算 机 系统 不 工作 条 件 下 所 测 得 的 外 界 无 线 电 
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辐射 干扰 场 强 (0.15MHz~1000MHz 时 ) 和 干扰 磁场 的 上 限 值 。 

(4) 在 计算 机 系统 停机 条 件 下 主机 房 地 板 表面 垂直 及 水 平 向 的 振动 加 速度 值 ,不 应 大 
于 500mm/s*。 主 机 房 场 地 环境 振动 值 是 根据 对 国内 一 些 大 中 型 计算 机 房 的 场地 振动 进行 
实测 分 析 后 提出 的 。 在 这 些 机 房 内 安装 有 主机 磁盘 机 磁带 机 、 宽 行 打印 机 、 激 光 打 印 机 、 
辫 孔 机 终端 机 及 整体 式 空调 机 等 。 测 试 时 ,设备 均 在 工作 , 测 点 位 置 为 机 房 内 活动 地 板 表 
面 ,多 点 采样 。 此 外 ,对 机 房 内 设备 本 身 振动 及 外 界 振动 对 设备 的 影响 ,也 作 了 测试 , 测 点 位 
置 是 设备 顶部 。 

(5) 主机 房 地 面 及 工作 台面 的 静电 泄漏 电阻 ,应 符合 现行 国家 标准 (计算 机 机 房 用 活动 
地 板 技术 条 件 》 的 规定 。 

规定 主机 房 地 面 及 工作 台面 的 静电 泄漏 电阻 最 高 值 是 为 了 有 效 地 泄漏 静电 荷 ,防止 高 
电位 静电 干扰 计算 机 的 正常 工作 ,同时 又 规定 最 低 的 泄漏 电阻 值 以 保障 工作 人 员 的 人 身 
安全 

(6) 主机 房 内 绝缘 体 的 静电 电位 不 应 大 于 1kV。 据 有 关 资 料 记载 ,静电 电压 达到 2kV 
时 ,人 会 有 电击 感觉 ,容易 引起 恺 慌 ,严重 时 能 造成 事故 及 设备 故障 。 因 此 ,本 规范 确定 主机 
房 内 绝缘 体 的 静电 电位 不 应 大 于 1kV。 


10.2.5 静电 防护 


静电 是 引起 计算 机 系统 故障 的 重要 原因 之 一 ,也 是 系统 维护 维修 中 引起 部 件 器 件 损 坏 
的 主要 原因 之 一 。 静 电 具 有 下 列 特点 : 静电 引起 的 故障 往往 是 随机 的 ,重复 性 不 强 ,难以 排 
除 ; 静电 放电 在 一 定 条 件 下 会 成 为 引火 源 ; 静电 会 损坏 集成 电路 部 件 ; 静电 会 引起 系统 误 
动作 。 接 地 是 防 静电 采取 的 最 基本 措施 。 正 确 的 接地 系统 对 计算 机 系统 的 安全 运行 .设备 
以 及 人 身 的 安全 等 ,有 着 极其 重要 的 关系 。 系 统管 理 员 必须 了 解 系 统 接地 的 概念 ,并 建立 正 
常 的 接地 系统 。 接 地 是 指 采用 金属 导电 体 与 大 地 作 电 气 连接 ,使 它 与 大 地 处 于 相等 电位 。 
计算 机 机 房 的 所 有 设备 都 必须 接地 。 接 地 电阻 必须 小 于 规定 值 ,一般 小 于 3W ,精密 设备 必 
须 小 于 0. 19。 

(1) 工作 间 不 用 活动 地 板 时 ,可 铺设 导 静 电 地 面 , 导 静电 地 面 可 采用 导电 胶 与 建筑 地 面 
粘 牢 , 导 静电 地 面 的 体积 电阻 率 均 应 为 1.0X107 一 1.0X10100。cm, 其 导电 性 能 应 长 期 稳 
定 , 且 不 易 发 尘 。 

(2) 主机 房 内 采用 的 活动 地 板 可 由 钢 、 锅 或 其 他 阻 燃 性 材料 制 成 。 活 动 地 板 表面 应 是 
导 静 电 的 ,严禁 暴露 金属 部 分 。 单 元 活动 地 板 的 系统 电阻 应 符合 现行 国家 标准 《计算 机 机 房 
用 活动 地 板 技术 条 件 ) 的 规定 。 

参照 现行 国家 标准 (计算 机 机 房 用 活动 地 板 技术 条 件 ) 中 第 4. 1 活动 地 板 电 性 能 技术 要 
求 : 在 温度 为 15 一 30C 、 相 对 湿度 为 30% 一 75% 时 活动 地 板 系统 电 阻 值 为 1. 0 X 107 一 
1.0X10100。 

活动 地 板 的 底面 及 侧面 一 般 由 导电 材料 制 成 ,上 表面 则 贴 有 导 静 电 材料 面 层 ,所 以 , 活 
动 地 板 的 系统 电阻 取决 于 导 静 电 地 面 的 电阻 值 。 

(3) 主机 房 内 的 工作 台面 及 坐 椅 垫 套 材 料 应 是 导 静 电 的 ,其 体积 电阻 率 应 为 1.0X107 一 
1.0X10100。cm。 

(4) 主机 房 内 的 导体 必须 与 大 地 作 可 靠 的 连接 ,不 得 有 对 地 绝缘 的 孤立 导体 。 
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(5) 导 静 电 地 面 、 活 动 地 板 . 工 作 台 面 和 坐 椅 垫 套 必须 进行 静电 接地 。 

(6) 静电 接地 的 连接 线 应 有 足够 的 机 械 强度 和 化 学 稳定 性 , 导 静 电 地 面 和 台面 采用 导 
电 胶 与 接地 导体 粘 接 时 ,其 接触 面积 不 宜 小 于 10cm 。 

(7) 静电 接地 可 以 经 限 流 电 阻 及 自己 的 连接 线 与 接地 装置 相连 , 限 流 电阻 的 阻 值 宜 
为 1MQ。 

静电 接地 装置 是 清除 静电 的 基本 措施 。 为 保证 工作 人 员 的 安全 ,接地 系统 要 串联 一 个 
1MO 限 流 电阻 。 


10.2.6 电磁 防护 


计算 机 及 其 外 部 设备 工作 时 会 产生 电磁 辐射 ,在 空间 中 以 电磁 波 的 形式 传播 。 当 电磁 
辐射 能 量 达 到 一 定 的 量 就 会 干扰 计算 机 自身 以 及 计算 机 周围 的 电子 设备 的 正常 工作 , 即 电 
磁 干 扰 (Electro-Magnetic Interference,EMI) 。 同 时 由 于 各 种 电磁 波 在 地 球 空间 长 期 存在 ， 
计算 机 要 在 如 此 浩瀚 的 电磁 干扰 环境 中 工作 ,不 仅 自身 的 可 靠 性 、 稳 定性 、 安 全 性 受到 影响 ， 
而 且 , 计 算 机 也 会 干扰 其 他 的 电子 设备 。 所 以 ,与 其 他 电子 设备 一 样 ,计算 机 也 必须 解决 电 
磁 兼 容 性 (Electro-Magnetic Compatibility,EMC) 问 题 。 

计算 机 的 电磁 兼容 性 是 指 计算 机 在 电磁 环境 中 的 适应 性 ,也 就 是 计算 机 系统 在 电磁 环 
境 中 能 够 保持 其 固有 性 能 ,完成 规定 功能 的 能 力 。 要 求 计算 机 在 同一 时 空 环境 中 与 其 他 电 
子 设 备 相 容 兼 顾 , 既 不 受 外 部 干扰 ,也 不 干扰 外 部 ,这 就 是 防 电磁 干扰 的 两 个 方面 。 然 而 ,要 
完全 做 到 这 两 个 方面 是 非常 困难 的 。 它 涉及 物理 空间 、 环 境 因素 等 各 种 情况 ,计算 机 系统 所 
面临 的 电磁 干扰 也 包括 计算 机 本 身 产生 的 干扰 和 来 自 外 部 的 干扰 。 

1. 计算 机 系统 的 电磁 干扰 

计算 机 的 电磁 干扰 包括 来 自 计 算 机 内 部 的 干扰 和 来 自 计 算 机 外 部 的 干扰 。 

1) 计算 机 系统 内 部 的 电磁 干扰 

计算 机 系统 内 部 的 电磁 干扰 是 一 类 随机 的 、 瞬 态 的 干扰 ,这 些 干扰 的 表现 是 多 种 多 样 
的 。 一 般 情况 下 ,系统 内 部 的 和 干扰 包括 了 机 器 内 部 元 器 件 噪声 干扰 .寄生 耦合 干扰 、 信 号 反 
射 干 扰 、 高 频 电路 辐射 干扰 和 地 线 接地 干扰 等 。 

(1) 元 器 件 噪声 干扰 。 计 算 机 的 主机 板 、1/O 接口 和 控制 板 都 是 电子 元 器 件 集成 所 在 ， 
由 于 电子 元 器 件 的 不 完整 性 、 元 器 件 随 时 间 的 衰变 性 、 元 器 件 特 性 的 偏离 和 数值 误差 带 来 的 
不 稳定 性 ,从 而 产生 噪声 特性 。 任 何 元 器 件 , 无 论 是 无 源 元 件 ( 如 电阻 ,电容 等 ) 还 是 有 源 元 
件 (如 TTL、ECL、MOS、.CMOS 等 芯片 ) 都 存在 不 同 程度 的 噪声 干扰 。 

(2) 寄生 耦合 干扰 。 计 算 机 内 的 电路 板 上 的 每 个 器 件 和 每 根 导线 都 具有 一 定 的 电位 ， 
它们 的 周围 形成 一 定 大 小 的 电磁 场 。 当 电路 板 上 的 元 器 件 或 者 电路 线路 布局 不 合理 ,线路 
走向 不 合理 ,都 会 产生 分 布 电容 .电感 ,从 而 耦合 进 计 算 机 ,使 信号 产生 畸变 。 

(3) 信号 反射 干扰 。 计 算 机 电路 中 , 当 信和 号 线 阻 抗 与 负载 阻抗 不 匹配 时 ,脉冲 信号 就 会 
在 传输 线 中 产生 反射 现象 ,形成 传导 波 或 驻 波 ,会 对 信号 波形 产生 瞬时 冲击 ,容易 造成 迎 辑 
故障 。 例 如 ,PCB 板 金 属 化 孔 不 良 、 印 制 线路 粗细 不 当 、 弯 转 不 当 等 都 会 产生 干扰 。 网 络 中 
的 终端 匹配 电阻 不 良 ,也 会 产生 反射 干扰 。 

(4) 高 频 电 路 辐射 干扰 。 电 路 板 上 的 高 频 元 器 件 、 振 功 器 、 晶 振 、 视 频 电 路 、 射 频 电路 、 
调制 解 调 电路 等 , 均 会 引起 高 频 干 扰 。 
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(5) 地 线 接地 干扰 。 计 算 机 系统 中 ,如 果 接 地 不 妥 , 例 如 , 交 直 流 地 线 混 接 或 接地 线 自 
成 闭 和 回路 ,就 会 产生 “地 环 路 ”。 地 环 路 会 产生 很 大 电流 ,产生 地 线 干扰 ,对 计算 机 部 件 相 
当 有 害 。 

2) 计算 机 系统 外 部 的 电磁 干扰 

计算 机 系统 在 运行 中 时 刻 受到 来 自 外 部 的 电磁 干扰 ,位 于 雷电 区 域 .变电站 ,发 电厂 、 超 
高 压 输电 线 较 近 的 计算 机 系统 ,受到 的 电磁 干扰 尤其 厉害 ,系统 防护 更 为 重要 。 这 一 类 外 部 
干扰 源 包 括 外 部 电气 设备 干扰 、 自 然 干 扰 、 静 电 干 扰 等 。 

(1) 电气 设备 干扰 。 电 器 设备 干扰 是 外 部 电磁 干扰 的 主要 来 源 , 按 干扰 性 质 可 分 为 工 
频 干扰 、 开 关 干 扰 、 放 电 干 扰 和 射频 干扰 。 

工 频 干扰 : 指 工 业 频 率 的 电流 互感 器 、 整 流 器 、 高 压 输电 线 、 交 流 稳 压 器 中 的 交流 电 产 
生 的 电磁 干扰 。 计 算 机 机 房 必 须 远 离 高 压 输 电线 ,电气 化 铁路 线 、 强 发 射 功率 的 广播 天 线 、 
雷达 系统 等 。 如 果 环 境 周围 有 上 述 场 源 ,必须 离开 规定 的 距离 ,或 者 采取 系统 屏蔽 措施 。 例 
如 ,机 房 建筑 在 建设 和 综合 布线 时 可 以 考虑 总 体 屏蔽 。 

开关 干扰 : 大 功率 开关 ,继电器 、 点 焊 机 、 整 流 器 、 大 型 电机 ,吸尘器 ,电钻 等 设备 的 开关 
会 使 电流 发 生 急 剧变 化 ,产生 脉冲 式 干扰 。 因 此 ,计算 机 系统 所 在 的 供电 环境 中 ,应 当 人 避免 
接 人 频繁 启 停 的 电力 设备 ,如 电力 拖 动 设 备 搅拌 设备 .电炉 电磁 设备 .电机 设备 等 。 因 为 这 
类 设备 负载 容易 产生 突变 ,产生 较 大 的 瞬间 冲击 电流 ,从 而 对 在 线 的 计算 机 设备 产生 干扰 。 

放电 干扰 : 高 频 辐射 ,电压 电流 冲击 产生 的 干扰 。 

射频 干扰 : 空间 中 的 无 线 电 波 广播. 电视、 雷达 、 焊 接 等 电子 设备 的 电磁 场 产 生 的 电磁 
波 辐射 。 

(2) 自然 干扰 。 形 成 自然 干扰 的 原因 有 : 雷电 、 弧 光 放电 、 尖 端 放电 产生 的 干扰 ; 宇宙 
干扰 ,太阳 能 无 线 辐 射 ; 电磁 脉冲 、 核 爆炸 等 。 这 些 自然 干扰 轻 则 使 计算 机 信息 出 错 ; 重 则 
击 穿 计算 机 元 器 件 ,损坏 计算 机 设备 。 

雷电 干扰 主要 经 电力 线 、 引 雷 线 入 地 ,产生 强大 电磁 波 ,其 感应 产生 的 尖峰 电压 可 达 
10kV 以 上 ,电流 强度 极 大 ,严重 威胁 计算 机 设备 安全 。 为 了 避免 雷电 干扰 ,在 机 房 规划 和 
网 络 规划 时 要 考虑 配备 下 述 设施 : 

@ 良好 的 接地 系统 。 

@ 良好 的 引 雷 、 避 雷 系统 。 

@ 交流 稳 压 、 纯 净 电 压 ,UPS。 

@ 防 雷管 、 防 雷 部 件 。 

@ 减少 架空 线 。 

在 网 络 规划 和 建设 中 ,由 于 网 络 布线 的 地 域 关 系 , 具 有 长 传输 线 问题 ,此 时 ,雷电 是 一 个 
严重 的 问题 。 因 此 , 当 网 络 布线 有 架空 线 和 外 线 时 ,可 以 采用 光缆 传输 。 计 算 机 系统 和 网 络 
段 供电 也 可 以 采用 防 雷 电 的 隔离 变压器 。 

(3) 静电 干扰 。 我 们 知道 ,静电 是 在 两 个 不 同 物体 相互 摩擦 的 瞬间 产生 的 ,所 以 也 称 为 
摩擦 电 , 而 物体 独立 存在 时 ,其 内 部 正 负 能 量 保持 平衡 ,因而 保持 稳定 状态 。 但 是 ,稳定 物体 
的 正 负 两 极 也 必定 有 一 方 更 强 , 因 此 在 一 定 条 件 下 会 产生 两 个 物体 间 的 静电 放电 。 静 电 是 
对 电子 器 件 影 响 最 大 的 安全 因素 。 对 CMOS 器 件 影响 最 大 ,由 于 CMOS 器 件 的 电容 性 结 
构 和 二 氧化 硅 (SiO* ) 的 高 绝缘 性 能 ,很 小 电量 也 会 感应 出 很 高 的 静电 电压 ,从 而 产生 击 穿 
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现象 。 

与 静电 关系 最 密切 的 环境 因素 是 湿度 ,如果 大 气 中 的 湿度 一 直 持续 很 低 ,就 会 经 常 因 摩 
擦 产 生 静 电 并 发 生 静 电 放 电 现 象 。 如 果 湿 度 适当 ,人 身上 的 静电 就 可 以 很 容易 地 放射 到 空 
气 中 去 。 例 如 , 据 测量 在 湿度 为 10% 一 20% 的 非常 干燥 的 气候 下 ,人 在 地 和 传 上 走动 会 产生 
近 3.5 万 伏 的 高 压 , 而 当 湿 度 上 升 为 65% 一 90% 的 时 候 ,所 产生 的 电压 仅 有 1500 伏 左右 ， 
且 很 容易 被 释放 掉 。 

静电 产生 的 原因 包括 : 身体 摩擦 ,静电 积累 ,尖端 放电 ; @ 静 电感 应 ,电力 线 , 感 应 电 
荷 ; 加 电磁 感应 ,电磁 场 ,电机 电感 等 ; @ 空 间 电 荷 积累 ,空气 带电 ,风扇 机 内 温 升 。 

解决 静电 的 方法 有 多 种 ,例如 接地 放电、 屏蔽 (手套 、 工 具 、 环 ) 等 。 防 静电 机 制 可 以 采 
用 机 房 静 电 释 放 门 框 、 金 属 桌 边框 等 方式 接地 ,方便 操作 者 随时 在 有 意 或 无 意 中 将 自身 所 带 
的 静电 释放 掉 。 

2. 电磁 干扰 的 防护 

防 电磁 干扰 主要 解决 两 个 方面 的 问题 防止 计算 机 系统 受 外 部 电磁 场 和 辐射 的 干 
扰 , 即 系统 可 靠 性 问题 ; @ 防 止 计算 机 系统 产生 电磁 辐射 ,形成 信息 泄漏 , 即 保密 性 问题 。 

电磁 干扰 可 通过 电磁 辐射 和 传导 两 条 途径 影响 电子 设备 的 正常 工作 。 电 磁 辐 射 是 电子 
设备 辆 射 的 电磁 波 通过 电路 耦合 去 干扰 另 一 台电 子 设备 的 工作 ; 而 电磁 传导 通过 电子 设备 
间 连 接 的 导线 .电源 线 等 耦合 引起 干扰 。 

为 了 避免 外 部 的 电磁 干扰 ,目前 的 防护 措施 主要 针对 上 述 两 类 干扰 方式 。 对 于 电磁 传 
导 产 生 的 干扰 ,主要 采取 对 电源 线 和 导线 加 装 滤波 器 , 减 小 传输 阻抗 和 导线 间 的 交叉 厢 合 。 
而 对 电磁 辐射 产生 的 干扰 ,主要 是 采取 各 种 电磁 屏蔽 措施 ,例如 ,对 设备 的 金属 进行 屏蔽 ,对 
机 房 的 下 水 管 、 暖 气管 和 金属 门窗 进行 屏蔽 。 

计算 机 主机 及 其 附属 电子 设备 如 视频 显示 终端 .打印 机 等 在 工作 时 不 可 避免 地 会 产生 
电磁 波 辐射 ,这 些 辐射 中 携带 有 计算 机 正在 进行 处 理 的 数据 信息 。 尤 其 是 显示 器 ,由 于 显示 
的 信息 是 给 人 阅读 的 ,是 不 加 任何 保密 措施 的 ,所 以 其 产生 的 辐射 是 最 容易 造成 泄密 的 。 
1985 年 在 法 国 举行 的 “计算 机 与 通信 安全 ”国际 会 议 上 ,一 位 来 自 荷 兰 的 工程 师 用 一 套 稍 加 
改装 的 设备 和 黑白 电视 机 ,还 原 了 1 公里 以 外 的 机 房 内 计算 机 显示 屏 上 的 信息 ,证 明了 电磁 
辐射 产生 信息 泄漏 危险 的 真实 性 。 

经 过 对 电磁 辐射 泄密 问题 的 多 年 的 研究 ,逐渐 形成 了 TEMPEST( Transient Electromagnetic 
Pulse Emanation Standard) 技 术 , 即 抑制 信息 处 理 设备 的 噪声 泄漏 技术 。TEMPEST 最 早 
起 源 于 美国 国家 安全 局 的 一 项 绝密 计划 , 它 是 控制 电子 设备 泄密 发 射 的 代号 。 该 项 计划 主 
要 包括 : 电子 设备 中 信息 泄漏 (电磁 、 声 ) 信 号 的 检测 ; 信息 泄露 的 抑制 。TEMPEST 技术 
是 在 传统 的 电磁 兼容 理论 基础 上 发 展 起 来 的 ,但 比 传统 的 抗 电磁 干扰 的 要 求 高 得 多 ,技术 实 
现 更 为 复杂 。TEMPEST 技术 包括 泄漏 信息 的 分 析 、 预 测 接收、 识别、 复原、 防护、 测试 、 安 
全 评估 等 多 项 技术 ,采用 的 主要 措施 包括 滤波 .屏蔽 .干扰 、 接 地、 隔离 等 ,而 且 这 些 措 施 也 可 
以 结合 起 来 使 用 。 

以 美国 为 首 的 一 些 西方 发 达 国家 先后 更 新 制定 了 一 系列 的 防 信息 泄漏 标准 ,如 美国 
1981 年 发 布 的 主要 有 NACSIM5100 和 NACSIM5200 系列 ,1991 年 美国 推出 了 TEMPEST 
标准 NSTISSAM TEMPEST/1 一 91, 之 后 美国 又 推出 了 NSTISSAM TEMPEST/1 一 92 标 
准 。 我 国 也 在 1999 年 推出 了 防 信息 泄漏 标准 GGBB 1 一 1999《 计 算 机 信息 系统 设备 电磁 汇 
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漏 发 射 限 值 》, 但 由 于 技术 保密 原因 ,各 国都 对 最 新 制定 的 相关 标准 技术 内 容 和 数据 参数 进 
行 了 保密 。 


习题 10 


1. 硬件 和 软件 的 可 靠 性 与 完美 性 分 别 是 指 什么 ? 两 者 有 什么 区 别 ? 

2. 元 余 技术 主要 有 了 哪 几 类 ? 

3. 容错 后 备 模 式 中 , 哪 种 模式 的 工作 原理 是 M 运行 ,S 后 备 ,M 故障 ,S 接管 M, 原 M 
修复 ,S 归还 M? 

4. 部 件 级 容错 模式 有 哪 几 种 ?分 别 支 持 多 少 个 硬盘 ? 

5. 试 描述 机 房 的 安全 等 级 分 为 几 级 ,分 别 有 什 么 安全 要 求 。 

6. 机 房 的 三 度 要 求 是 哪 三 度 ? 

7. 网 桥 (Bridge) 、 桥 路 器 (Brouter) ,交换 机 (Switcher) 是 哪 一 层 的 网 络 互 连 设备 ? 

8. 路 由 器 能 完成 什么 样 的 网 络 层 安全 功能 ? 
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第 11 章 操作 系统 安全 


操作 系统 (Operating System) 是 计算 机 系统 的 灵魂 , 它 是 一 组 面向 机 器 
和 用 户 的 程序 ,充当 着 用 户 程序 与 计算 机 硬件 之 间 的 接口 ,负责 提供 用 户 与 
计算 机 系统 的 交互 界面 和 环境 ,其 目的 是 最 大 限度 地 、 高 效 地 ,合理 地 使 用 计 
算 机 资源 ,同时 对 系统 的 所 有 资源 (软件 和 硬件 资源 ) 进 行 管理 。 它 既是 一 座 
安全 屏障 ,也 是 入 侵 者 的 首要 目标 。 我 们 既 要 防止 操作 系统 本 身 的 隐患 和 不 
安全 漏洞 ,也 要 防止 非法 者 对 操作 系统 的 滥用 、 破 坏 和 窃取 服务 。 操 作 系 统 
是 计算 机 系统 运行 的 基础 , 它 的 安全 性 成 为 计算 机 系统 、 网 络 系统 以 及 在 此 
基础 上 建立 的 各 种 应 用 系统 成 败 的 关键 。 本 章 将 讨论 计算 机 操作 系统 的 安 
全 性 ,以 及 安全 操作 系统 的 设计 问题 。 


11.1 操作 系统 安全 概述 


操作 系统 是 计算 机 系统 安全 的 原始 基石 ,现代 操作 系统 支持 许多 程序 设 
计 概 念 ,允许 多 道 程序 及 资源 共享 ,同时 也 限制 各 类 程序 的 行为 。 操 作 系 统 
的 功能 和 权力 如 此 之 大 ,使 它 也 成 为 攻击 的 首要 目标 。 因 为 一 旦 攻破 操作 系 
统 的 防御 ,就 获得 了 计算 机 系统 保密 信息 的 存 取 权 。 

系统 安全 的 主要 威胁 ,来 源 于 各 个 方面 .有 自然 的 、 硬 件 的 、 软 件 的 ,也 有 
人 为 的 足 忽 、 失 误 ,还 有 恶意 的 攻击 等 。 一 个 没有 设防 的 系统 或 者 防御 性 不 
好 的 系统 ,对 合法 用 户 与 非法 用 户 实际 上 提供 了 同样 的 计算 和 通信 和 能力, 两 
者 都 直接 面 对 系 统 信息 资源 。 这 样 , 合 法 用 户 将 难以 信赖 系统 的 安全 价值 ， 
产生 了 系统 的 可 信和 度 问 题 。 

随 着 开放 性、 标准 化 的 广泛 应 用 ,在 未 来 的 开放 系统 中 ,采用 统一 总 线 、 
统一 编程 接口 ,统一 信息 处 理 格式 、 统 一 系统 管理 ,统一 应 用 支撑 环境 \ 标 准 
的 协议 等 ,这 对 系统 集成 (硬件 集成 与 软件 集成 ) 提 供 了 极 好 的 条 件 , 但 同时 
也 带 来 了 新 的 安全 性 威胁 ,产生 了 一 些 新 的 安全 隐患 。 例 如 ,在 标准 的 网 络 
和 计算 机 系统 内 ,计算 机 病毒 和 恶意 程序 的 攻击 范围 扩大 ,传播 过 程 简化 ,成 
本 下 降 。 系 统 被 攻击 的 人 口 增 多 、 破 坏 面 增 大 、 检 测 困难 且 开 销 很 大 。 所 以 ， 
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系统 愈 是 开放 ,应 用 范围 愈 宽 , 安 全 问题 也 愈 突出 。 在 一 个 开放 式 系统 中 ,如 果 没 有 恰当 的 
安全 控制 , 极 会 为 入 侵 者 打开 方便 之 门 。 此 外 ,计算 机 网 络 的 普及 使 任何 一 台 计算 机 都 可 以 
通过 某 种 途径 与 网 络 相连 ,通过 各 个 站 点 而 进入 网 络 系统 ,基于 本 机 操作 系统 和 网 络 操作 系 
统 的 各 种 应 用 软件 ,将 与 各 种 恶意 的 和 非法 的 程序 共存 ,各 类 计算 机 犯罪 (如 滥用 、 伪 造 、 算 
改 . 误 导 、 窃 取 等 ) 也 容易 乘虚 而 人 。 如 果 操 作 系统 本 身 的 安全 机 制 不 能 抵挡 人 侵 者 的 攻击 ， 
所 造成 的 损坏 和 范围 将 是 严重 的 和 广泛 的 。 


11.1.1 操作 系统 的 安全 问题 


计算 机 系统 的 安全 极 大 地 取决 于 操作 系统 的 安全 ,计算 机 操作 系统 的 安全 主要 是 利用 
安全 手段 防止 操作 系统 本 身 被 破坏 ,防止 非法 用 户 对 计算 机 资源 (如 软件 、 硬 件 . 时 间 、 空 间 、 
数据 ,服务 等 资源 ) 的 窃取 。 操 作 系统 安全 的 实施 将 保护 计算 机 硬件 .软件 和 数据 ,防止 人 为 
因素 造成 的 故障 和 破坏 。 

操作 系统 不 安全 主要 是 由 操作 系统 的 系统 设计 带 来 的 “破绽 ?引发 的 。 例 如 ,操作 系统 
的 驱动 程序 和 系统 服务 通过 动态 链接 进行 打 “ 补 丁 ” 升 级 ,这 种 动态 链接 的 方式 易 被 黑客 利 
用 ,也 是 计算 机 病毒 产生 的 环境 。 其 次 ,操作 系统 支持 的 一 些 功 能 也 是 外 部 恶意 攻击 的 主要 
渠道 。 例 如 ,操作 系统 的 隐蔽 通道 , 即 为 开发 人 员 提 供 的 便捷 入 口 , 是 黑客 的 入 侵 通 道 ; 操 
作 系统 支持 进程 的 远程 创建 与 激活 以 及 支持 被 创建 进程 继承 创建 进程 的 权利 ,提供 了 远 端 
服务 器 上 安装 “间谍 ”软件 的 条 件 。 此 外 ,多 用 户 操作 系统 支持 多 道 程 序 和 多 个 用 户 同时 使 
用 系统 ,会 产生 用 户 之 间 有 意 或 无 意 的 干扰 。 

在 详细 讨论 操作 系统 安全 机 制 前 ,我 们 首先 要 明确 计算 机 系统 中 有 哪些 被 保护 实体 , 操 
作 系 统 能 够 进行 什么 样 的 保护 和 采用 什么 样 的 方法 保护 。 下 文中 ,我 们 使 用 “实体 ”一 词 代 
表 计 算 机 系统 中 的 被 保护 体 ,如 内 存 、 文 件 \ 硬 设备 ,数据 结构 及 保护 机 制 本 身 。 而 用 “主体 ” 
一 词 来 代表 用 户 程序 员 程序 、 另 一 实体 或 者 其 他 使 用 实体 的 事务 。 

被 保护 实体 属于 敏感 实体 , 即 能 够 影响 操作 系统 正常 工作 、 使 系统 最 终 混乱 和 停止 运行 
的 关键 实体 部 位 。 计 算 机 系统 中 的 共享 实体 则 是 安全 的 关键 因素 ,这 些 共享 实体 有 计算 机 
主 存 ( 内 存 ) 、 可 共享 的 MO 设备 (如 磁盘 、 磁 带 、 打 印 机 等 )、 可 共享 的 程序 及 子 过程 、 可 共享 
的 数据 ,以 及 安全 机 制 本 身 等 。 操 作 系 统 在 被 授权 控制 这 些 实体 并 完成 共享 时 ,必须 保护 它 
们 ,建立 必要 的 安全 机 制 。 操 作 系 统 设计 除了 要 避免 自身 缺陷 之 外 ,还 要 能 防御 系统 外 部 的 
各 种 恶意 攻击 ,以 保证 自身 的 完整 性 。 


11.1.2 操作 系统 的 安全 方法 


一 个 计算 机 系统 (广义 化 为 计算 系统 ) 的 安全 性 可 以 建立 如 下 的 安全 策略 ,这 些 策略 按 
照 其 实现 复杂 度 递 增 和 提供 安全 性 递减 的 次 序 排列 如 下 。 

(1) 物理 分 离 : 在 物理 设备 或 部 件 一 级 进行 隔离 ,使 不 同 的 进程 使 用 不 同 的 物理 对 象 。 
例如 把 不 同 的 打印 机 分 配给 不 同安 全 级 别 的 用 户 。 

(2) 时 间 分 离 : 对 不 同安 全 要 求 的 进程 分 配 不 同 的 运行 时 间 段 ,允许 高 级 别 的 进程 独 
占 计算 机 进行 运算 。 

(3) 逻辑 分 离 : 多 个 用 户 进程 可 同时 运行 ,但 限定 程序 存 取 范围 ,使 进程 彼此 间 不 相互 
干扰 。 
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(4) 加 密 分 离 : 进程 以 一 种 其 他 进程 不 了 解 的 方式 加 密 其 数据 和 计算 ,使 对 其 他 进程 
不 可 见 。 例 如 ,对 用 户 的 口令 信息 或 文件 数据 以 密码 形式 存储 ,使 其 他 用 户 无 法 访问 。 

在 上 述 四 种 措施 中 ,前 两 种 是 直接 有 效 的 ,但 会 导致 资源 利用 率 下 降 ; 后 两 种 方法 主要 
依赖 操作 系统 的 功能 实现 ; 这 几 种 安全 分 离 策 略 也 可 以 彼此 结合 。 因 此 ,在 操作 系统 的 设 
计 中 ,必须 恰当 地 考虑 安全 机 制 的 设立 , 既 要 避免 由 建立 安全 机 制 而 引入 的 系统 负担 和 开 
销 , 又 必须 允许 具有 不 同安 全 需求 的 进程 并 发 执行 。 

试图 分 离 用 户 和 对 象 只 解决 了 问题 的 一 半 , 因 为 用 户 同时 希望 能 够 共享 某 些 对 象 。 例 
如 ,位 于 不 同安 全 层 的 两 个 用 户 希 望 能 够 共享 一 些 函 数 而 不 危及 各 自 的 安全 。 因 此 需要 操 
作 系 统 提供 解决 上 一 问题 的 保护 措施 。 操 作 系 统 可 以 在 任何 层次 上 提供 保护 ,一 个 特定 的 
操作 系统 也 可 能 为 不 同 的 实体 、 用 户 或 者 环境 提供 不 同 层次 的 保护 措施 。 现 存 的 操作 系统 
都 采用 了 各 种 方式 支持 上 述 策略 的 实施 ,这 里 ,我 们 按照 其 实现 的 难度 和 提供 的 安全 性 能 递 
增 的 顺序 列 出 这 些 保护 方式 。 

(1) 无 保护 : 它 适合 于 敏感 进程 运行 于 独立 的 时 间 环 境 。 

(2) 隔离 保护 : 并 发 运行 的 进程 彼此 不 会 感觉 到 对 方 的 存在 ,也 不 会 影响 干扰 对 方 ,每 
一 进程 具有 自己 的 地 址 空间 、 数 据 、 文 件 及 其 他 实体 。 

(3) 共享 或 非 共享 保护 : 在 这 种 保护 形式 中 ,实体 分 为 公有 或 私有 实体 两 类 。 任 何 进 
程 都 可 以 访问 公有 实体 ,而 只 有 实体 的 所 有 者 能 访问 私有 实体 。 例 如 ,系统 资源 分 为 “公有 ” 
和 “私有 ”两 类 。 

(4) 存 取 权限 保护 : 操作 系统 借助 于 某 种 数据 结构 ,在 特定 用 户 和 特定 实体 上 实施 存 
取 控 制 , 检 查 每 次 存 取 的 有 效 性 ,保证 只 有 授权 的 存 取 行 为 发 生 。 

(5) 权能 共享 保护 : 它 是 存 取 权限 共享 的 扩展 ,操作 系统 为 实体 动态 地 建立 共享 权限 ， 
共享 的 程度 依赖 于 用 户 或 主体 .计算 环境 和 实体 本 身 。 

(6) 实体 使 用 限制 保护 : 它 不 仅 限 制 对 实体 的 存 取 , 也 限制 存 取 后 对 实体 的 使 用 。 例 
如 , 某 个 文件 可 以 被 查看 ,但 不 能 被 复制 。 

上 述 的 安全 措施 可 以 彼此 结合 ,形成 多 种 层次 、 多 种 程度 的 安全 机 制 ,为 达到 控制 的 灵 
活 和 可 靠 性 ,采用 了 安全 控制 粒度 (granularity) 的 概念 。 即 按照 不 同 的 安全 需求 和 实体 类 
型 ,决定 安全 控制 的 程度 。 例 如 ,对 数据 的 存 取 ,可 以 分 别 控制 在 比特 、 字 节 、 单 元 \ 字 字段、 
记录 、 文 件 或 者 文 卷 一 级 。 这 里 ,实体 控制 的 层次 越 高 , 存 取 控制 越 容易 实现 。 然 而 这 样 , 操 
作 系 统 给 用 户 的 存 取 权限 多 于 用 户 的 实际 需要 。 例 如 ,对 某 些 大 型 实体 ,车 用 户 只 需 存 取 其 
中 的 一 部 分 ,但 作为 系统 ,也 必须 允许 控制 对 整个 实体 的 存 取 。 


11.1.3 安全 操作 系统 的 发 展 


世界 上 的 第 一 个 安全 操作 系统 是 Adept-50, 这 是 一 个 分 时 系统 。 安 全 Adept-50 的 工 
作 始 于 20 世纪 60 年 代 中 后 期 ,而 安全 Multics 的 工作 始 于 20 世纪 70 年 代 初期 。 世 界 上 
第 一 个 操作 系统 ( 批 处 理 系统 ) 诞 生 于 20 世纪 50 年 代 中 期 ,第 一 个 分 时 操作 系统 CTSS 诞 
生 于 20 世纪 60 年 代 初期 。 从 CTSS 到 安全 Adept-50, 相 距 约 5 年 ,可 以 说 ,安全 操作 系统 
的 研究 在 分 时 系统 诞生 后 不 久 就 开始 了 。 

安全 操作 系统 研究 的 历程 划分 为 莫 基 时 期 .食谱 时 期 .多 政策 时 期 和 动态 政策 时 期 等 四 
个 发 展 阶 段 。 黄 基 时 期 始 于 1967 年 安全 Adept-50 项 目 启动 之 时 。 在 这 个 时 期 ,安全 操作 


第 11 章 操作 系统 安 | 


系统 经 历 了 从 无 到 有 的 探索 过 程 ,安全 操作 系统 的 基本 思想 、 理 论 .技术 和 方法 逐步 建立 。 
食谱 时 期 始 于 1983 年 美国 的 TCSEC 标准 颁布 之 时 ,这 个 时 期 的 特点 是 人 们 以 TCSEC 为 
蓝本 研制 安全 操作 系统 。 多 政策 时 期 始 于 1993 年 ,这 个 时 期 的 特点 是 人 们 超越 TCSEC 的 
范围 ,在 安全 操作 系统 中 实现 多 种 安全 政策 (security policy) 。 动 态 政策 时 期 始 于 1999 年 ， 
这 个 时 期 的 特点 是 使 安全 操作 系统 支持 多 种 安全 政策 的 动态 变化 ,实现 安全 政策 的 多 样 性 。 

四 个 时 期 的 划分 主要 目的 在 于 刻画 安全 操作 系统 研究 演化 的 主流 特点 ,力图 反映 技术 
进步 的 特征 ,虽然 以 时 间 为 线索 ,但 并 不 意味 着 以 时 间 为 绝对 界限 ,比如 ,在 多 政策 时 期 , 安 
全 操作 系统 的 研制 完全 可 能 采用 食谱 时 期 的 技术 和 方法 ,其 他 类 推 。 


11.2 操作 系统 安全 机 制 


随 着 计算 机 技术 、 通 信 技 术 、 微 电子 技术 在 硬件 设计 、 体 系 结构 .存储 系统 以 及 软件 设计 
等 方面 的 最 新 发 展 ,系统 安全 机 制 的 实现 已 经 采用 了 各 种 技术 ,例如 认证 技术 .访问 控制 技 
术 、 密 码 技术 .完整 性 技术 .安全 协议 等 ,以 及 上 述 技术 的 彼此 配合 ,在 系统 中 形成 了 多 种 安 
全 机 制 ,以 确保 系统 可 信 地 自动 执行 系统 安全 策略 ,从 而 保护 系统 的 信息 资源 .能 力 资源 不 
受 破坏 ,不 被 窃取 和 滥用 ,使 系统 提供 相应 的 安全 性 服务 。 

安全 机 制 有 多 种 ,每 种 又 可 细 分 为 若干 子 类 ,在 计算 机 操作 系统 数据 库 系 统 、 各 类 信息 
系统 和 网 络 系统 中 的 安全 机 制 也 不 尽 相 同 ,限于 篇 幅 ,本 节 仅 介绍 与 操作 系统 本 身 密切 相关 
的 最 基本 的 安全 机 制 , 它 们 是 内 存 保护 机 制 、 文 件 保护 机 制 、 存 取 控 制 机 制 、 鉴 别 机 制 、 恶 意 
程序 防御 机 制 等 。 


11.2.1 内 存 保护 机 制 


多 道 程序 技术 是 操作 系统 中 的 一 个 基本 的 和 重要 的 特征 ,由 于 在 计算 机 主 存 中 可 以 同 
时 存放 若干 道 程序 ,那么 ,必须 防止 一 道 程序 在 存储 和 运行 时 影响 其 他 程序 的 内 存 。 幸 运 的 
是 ,计算 机 硬件 系统 内 置 了 保护 措施 ,以 控制 内 存 的 有 效 使 用 。 操 作 系统 利用 硬件 系统 提供 
的 硬 保护 机 制 进行 存储 器 的 安全 保护 。 目 前 ,最 常用 的 是 界 址 (Fence)、 界 址 寄存 器 (Fence 
Register) 、 重 定位 ,特征 位 、 分 段 和 分 页 机 制 。 下 面 从 操作 系统 安全 的 角度 对 上 述 机 制 予以 
说 明 。 

1. 界 址 、 重 定位 与 限界 


界 址 、 重 定位 与 限界 是 最 简单 的 内 存 保护 机 制 , 它 是 将 操作 系统 所 用 存储 空间 与 用 户 空 
间 分 开 ,并 将 每 个 用 户 限制 在 他 自己 的 地 址 范围 中 。 界 址 是 一 个 预定 义 的 内 存 地址 , 它 可 以 
由 系统 预先 设 定 (固定 界 址 ) ,或 者 在 操作 系统 引导 装 入 过 程 中 将 此 地 址 计算 出 (活动 界 址 ) 
后 放 入 一 个 硬件 寄存 器 中 , 即 界 址 寄存 器 (Fence Register) 中 。 这 个 地 址 作为 一 个 限界 ,是 
操作 系统 (或 者 是 操作 系统 加 上 其 他 系统 驻 留 程序 ) 的 结束 处 地 址 , 当 用 户 程序 每 次 修改 数 
据 的 地 址 时 ,该 地 址 自动 地 与 界 址 进行 比较 , 若 地 址 位 于 用 户 区 , 则 执行 指令 ,否则 产生 异常 
或 出 错 条 件 。 

重 定位 是 程序 编译 时 假定 所 有 程序 地 址 均 从 0 开始 (获得 程序 的 相对 地 址 ) ,但 在 程序 
装 入 系统 内 存 时 ,根据 实际 的 装 入 地 址 改变 程序 中 所 有 地 址 的 过 程 (获得 程序 的 绝对 地 址 ) 。 
一 般 情 况 下 是 利用 重 定位 因子 实现 上 述 过 程 , 重 定位 因子 是 程序 装 入 内 存 的 起 始 地 址 ,将 重 
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定位 因子 加 到 程序 的 每 个 相对 地 址 上 即 可 获得 程序 的 绝对 地 址 。 界 址 寄存 器 提供 了 程序 重 
定位 的 可 能 , 它 作 为 硬件 重 定位 机 制 .存放 一 个 起 始 地 址 ,以 后 ,每 个 程序 地 址 只 需 加 上 该 寄 
存 器 的 内 容 即 可 实现 地 址 重 定位 ,建立 多 用 户 环境 。 

但 是 , 界 址 仅 在 一 个 方向 上 实现 了 主 存 保护 , 它 可 以 保护 单 用 户 , 但 不 能 保护 用 户 间 的 
彼此 干扰 ,也 不 能 识别 程序 的 特定 区 域 是 否 受 到 侵犯 。 要 克服 这 个 缺点 ,可 以 引入 第 二 个 寄 
存 器 , 即 界限 寄存 器 (Bound Register) ,也 称 基 址 寄存 器 。 基 址 寄存 器 存储 向 下 的 地 址 界 
限 ,而 界限 寄存 器 存储 向 上 的 地 址 界限 ,每 个 程序 的 地 址 被 强制 在 基 址 上 ,而 程序 地 址 完全 
局 限 在 基 址 与 界限 寄存 器 指定 的 空间 内 。 这 样 ,就 保护 了 程序 内 存 免 受 其 他 用 户 的 修改 , 当 
从 一 个 用 户 程序 切换 到 另 一 个 用 户 程序 时 ,操作 系统 必须 改变 基 址 和 界限 寄存 器 内 容 , 以 反 
映 该 用 户 的 实际 地 址 空间 ,这 是 由 操作 系统 的 调度 程序 在 进行 文本 转 接 时 实现 。 

借助 这 一 对 寄存 器 ,用 户 可 以 完全 被 保护 而 免 遭 其 他 用 户 干 扰 ,用 户 地 址 空间 内 的 不 正 
确 地 址 也 只 能 影响 程序 本 身 。 在 有 的 系统 中 ,将 用 户 程 序 代码 和 数据 存储 地 址 分 开 ,分别 用 
一 对 界 址 寄存 器 来 实现 存储 保护 ,第 一 对 寄存 器 对 程序 指令 进行 重 定位 和 检查 ,第 二 对 寄存 
器 对 存 取 数据 进行 重 定 位 和 检查 。 尽 管 两 对 寄存 器 不 能 防止 程序 出 错 ,但 它 把 数据 干扰 和 
操纵 指令 的 影响 限制 在 数据 区 ,而 且 , 将 程序 分 成 了 两 部 分 可 分 别 重 定 位 的 块 。 其 示意 图 如 
图 11-1 所 示 。 


内 存 FR 内 存 BR1 内 存 
Fence n+l 9 n+l | 
Os OS 
| 用 
n+l n+l 
用 户 用 户 
程序 程序 
Pp 
max max lax 
BR2 
(a) 固定 界 址 (b) 可 变 界 址 (c) 界限 寄存 器 对 
图 11-1 界 址 保护 


2. 特征 位 

界限 寄存 器 对 把 存 取 操 作 限制 在 一 系列 顺序 的 地 址 空间 内 ,对 这 一 空间 范围 的 共享 ,要 
么 是 全 部 共享 ,要 么 全 不 共享 。 也 就 是 说 ,一 个 程序 要 么 将 其 所 有 可 用 数据 作为 可 存 取 、 可 
修改 的 ,要 么 禁止 任何 存 取 。 这 种 控制 简单 ,但 对 于 需要 保护 某 些 而 非 所 有 数据 的 情况 则 不 
太 适 合 ,尤其 考虑 到 程序 设计 中 的 信息 隐藏 及 模块 化 等 良好 设计 风格 ,要 求 一 个 程序 模块 在 
共享 另 一 程序 模块 时 ,仅仅 使 用 能 够 使 它们 运行 的 最 少 的 必需 数据 。 因 此 ,为 了 保证 特定 数 
据 的 完整 性 ,在 程序 初始 化 时 允许 写 入 这 些 数据 ,以 后 则 禁止 程序 修改 ,以 防止 程序 自身 代 
码 错误 。 

要 实施 这 种 全 部 或 者 部 分 数据 安全 控制 ,可 采用 特征 位 结构 , 即 内 存 的 每 个 字 中 有 一 个 
或 者 多 个 附加 位 作为 该 字 的 存 取 权 限 . 附 加 特征 位 只 能 由 操作 系统 的 特权 指令 设置 ,而 指令 
存 取 时 都 对 这 些 位 进行 测试 。 其 中 , 某 一 段 内 存单 元 不 允许 存 取 ,其 特征 位 为 X( 只 执行 )， 
只 读 为 R, 只 写 为 W, 可 读 写 为 RW。 采用 不 同 的 特征 位 可 将 不 同类 的 数据 (如 数字 、 字 符 、 
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地 址 、 指 针 、` 其他) 分 开 , 形 成 数据 在 内 存 中 的 保护 。 如 果 将 特征 位 的 概念 扩展 到 特征 字 或 特 
征 单元 , 则 可 以 实现 对 某 一 区 域 . 段 或 堆栈 的 安全 保护 。 特 征 位 结构 曾 在 IBM S/38、Burroughs 
B6500/7500 系统 中 得 以 应 用 。 

3. 分 段 与 分 页 

程序 分 段 提供 了 类 似 于 无 数 个 界限 寄存 器 对 的 功效 ,程序 本 身 被 划分 为 许多 具有 不 同 
存 取 权 限 的 独立 块 ,每 块 是 一 个 逻辑 实体 ,其 代码 与 数据 间 存 在 联系 。 每 段 具 有 唯一 的 名 
字 , 段 内 代码 或 数据 基于 的 段 起 始 地 址 ,以 位 移 量 ( 偏 移 量 ) 描 述 。 每 个 段 都 可 以 被 分 别 重 定 
位 ,一 个 段 可 存放 在 任何 可 用 的 内 存单 元 内 ,系统 通过 段 表 等 结构 查找 并 得 到 实际 地 址 。 用 
户 程序 并 不 知道 ,也 无 须知 道 它 所 使 用 的 实际 内 存 地 址 ,这 种 地 址 隐藏 特性 对 操作 系统 来 说 
有 如 下 优点 : 

(1) 操作 系统 可 将 任何 分 段 移 到 任何 内 存单 元 中 , 段 的 移动 只 需 修改 段 表 参数 ; 

(2) 对 于 当前 或 长 期 未 使 用 的 段 ,操作 系统 可 将 其 移出 主 存 ,让 出 存储 空间 ; 

(3) 操作 系统 对 每 次 地 址 引用 ,进行 安全 保护 检查 。 

因此 ,对 未 列 入 表 中 的 分 段 ,进程 将 推迟 存 取 ,从 而 防止 了 非法 进程 存 取 该 段 。 

程序 分 段 是 通过 硬件 和 软件 共同 完成 的 ,操作 系统 与 硬件 的 配合 可 以 很 容易 地 将 特定 
级 别 的 保护 和 特殊 的 分 段 联系 起 来 ,进行 存 取 时 的 检查 和 保护 。 从 保护 的 角度 来 看 ,每 个 地 
址 的 引用 都 要 作 保 护 检查 ,不 同 层次 的 数据 可 赋予 不 同 的 保护 级 别 ,多 个 用 户 既 可 共享 存 取 
段 ,但 又 具有 不 同 的 存 取 权 限 ,而 且 , 用 户 不 可 能 产生 地 址 或 者 企图 访问 不 允许 访问 的 分 段 ， 
这 就 是 分 段 的 优点 。 

与 程序 分 段 类 似 , 许 多 操作 系统 采用 了 分 页 机 制 。 分 页 的 地 址 转换 处 理 与 分 段 非常 类 
似 , 操 作 系统 通过 一 张 页 表 将 用 户 程序 地 址 转换 为 内 存 实际 地 址 。 与 分 段 不 同 的 是 ,所 有 页 
的 大 小 是 一 样 的 ,因此 不 存在 “碎片 ”问题 ,也 不 存在 地 址 超出 页 尾 的 问题 ,超出 特殊 页 尾 的 
位 移 将 改变 地 址 页 号 ,从 而 改变 地 址 。 对 程序 员 来 说 ,可 以 感觉 到 段 ,但 无 法 感觉 到 页 ,不 存 
在 页 的 逻辑 实体 ,因此 ,也 不 可 能 将 页 中 的 内 容 设 定 为 只 读 或 只 执行 。 鉴 于 分 页 在 实现 上 的 
有 效 性 和 分 段 产 生 的 逻辑 保护 特性 ,将 两 者 结合 就 形成 了 段 页 式 内 存 管 理 。 


11.2.2 文件 保护 机 制 


文件 系统 是 操作 系统 中 一 个 重要 部 分 ,文件 系统 的 结构 体现 了 操作 系统 的 特色 ,也 极 大 
地 影响 操作 系统 的 性 能 ,是 操作 系统 设计 中 的 基础 与 难点 。 文 件 ( 包 括 以 文件 形式 存放 的 各 
类 数据 文档 、 用 户 程序 、 图 文 声 像 资料 等 ) 是 操作 系统 处 理 的 资源 ,文件 存放 在 磁盘 、 磁 带 这 
些 可 随机 存 取 的 辅助 存储 介质 上 。 因 此 ,对 文件 系统 的 保护 机 制 就 分 为 对 文件 系统 本 身 和 
对 文件 存储 载体 的 安全 保护 。 

所 有 多 用 户 操作 系统 都 必须 提供 最 小 的 文件 保护 机 制 , 防 止 用 户 有 意 或 者 无 意 对 系统 
文件 和 其 他 用 户 文件 的 存 取 或 修改 ,用户 数 越 多 ,保护 模式 的 复杂 性 也 越 大 。 下 面 列 出 几 种 
基本 的 文件 保护 方法 。 

1. 一 般 性 有 无 保护 

在 早期 操作 系统 中 ,文件 被 认为 是 公用 的 ,任何 用 户 均 可 存 取 系统 和 其 他 用 户 的 文件 ， 
这 是 基于 信任 的 保护 原则 。 然 而 ,对 于 某 些 特定 文件 和 敏感 文件 ,一 般 采 用 口令 的 方式 进行 
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文件 保护 ,将 口令 用 于 控制 所 有 存 取 操作 ( 读 、 写 和 删除 等 操作 ) ,采用 允许 或 者 禁止 的 方式 
进行 控制 ,这 种 干预 一 般 是 通过 系统 操作 员 进 行 的 。 

一 般 性 有 无 保护 机 制 在 实施 过 程 中 遇 到 了 一 些 问 题 ,基于 可 信用 户 保护 原则 的 假设 不 
一 定 合理 ,对 用 户 数 很 少 且 彼 此 了 解 的 系统 ,相互 是 可 信和 的 ,而 对 用 户 数 较 多 的 大 型 系统 ,用 
户 间 并 不 了 解 , 不 存在 信任 的 基础 。 即 使 标识 了 一 系列 可 信用 户 ,也 无 法 允许 仅 对 他 们 开放 
存 取 权 。 所 以 ,一般 性 有 无 保护 机 制 较 适合 于 批 处 理 系统 ,而 不 适合 于 分 时 系统 。 因 为 前 者 
用 户 很 少 有 机 会 相互 接触 ,用 户 彼此 按照 自己 的 思路 使 用 系统 ,而 后 者 用 户 间 相互 接触 多 并 
可 选择 程序 的 执行 时 间 ,可 能 将 计算 任务 都 安排 在 共享 一 个 程序 或 者 其 他 用 户 数据 的 时 候 。 
而 且 , 用 户 知道 系统 中 所 有 文件 ,可 以 浏览 任何 未 被 保护 的 文件 。 

2. 成 组 保护 

成 组 保护 主要 用 于 标识 一 组 具有 某 些 相同 特性 的 用 户 。 例 如 ,通常 将 用 户 分 为 三 类 , 即 
普通 用 户 、 可 信 组 用 户 和 其 他 用 户 ( 简 称 用 户 、 组 和 其 他 )。UNIX、VMS 操作 系统 中 则 采用 
此 类 保护 方式 。 

所 有 授权 用 户 都 被 分 为 组 ,组 可 以 包括 在 一 个 相同 项 目 上 工作 的 成 员 、 班 级 、 部 门 或 单 
个 用 户 ,共享 是 选择 分 组 的 基础 ,组 中 成 员 具 有 相同 的 兴趣 ,能 够 彼此 共享 文件 或 数据 ,但 一 
个 用 户 不 能 属于 多 个 组 。 

分 组 方式 很 简单 ,使 用 两 个 标识 符 ID 即 可 标识 用 户 ID 和 组 ID ,标识 符 保存 在 每 个 文 
件 的 目录 记录 中 。 建 立 文件 时 ,用 户 为 自己 ,组 中 用 户 以 及 其 他 普通 用 户 定义 存 取 权限 ,由 
操作 系统 记录 。 这 个 存 取 权 限 的 选择 是 一 个 有 限 集合 ,如 读 、 写 、 执 行 、 删 除 ,根据 不 同情 况 
设置 三 类 用 户 不 同 的 存 取 权 限 。 因 此 ,检查 用 户 是 否 具有 对 某 个 文件 的 存 取 权限 ,只 需 检查 
其 组 ID 和 要 存 取 的 文件 的 组 ID 是 否 匹配 。 

成 组 保护 实现 简单 ,但 具有 一 些 新 的 问题 。 其 一 ,组 隶属 问题 是 个 敏感 问题 ,如 果 一 个 
用 户 属于 两 个 组 ,会 产生 二 义 性 。 例 如 ,用 户 A 与 B 在 一 组 , 若 A 又 与 C 在 另 一 组 , 若 A 
将 一 文件 设 定 为 组 内 只 读 , 是 否 对 两 组 中 用 户 都 有 效 ? 因此 ,操作 系统 一 般 限制 每 个 用 户 只 
能 属于 特定 的 组 。 其 二 ,为 克服 每 人 一 组 的 限制 , 某 个 用 户 可 能 有 多 个 账号 ,其 效果 类 似 于 
多 用 户 。 例 如 ,用 户 A 得 到 两 个 账号 Al 和 A2, 分 别 属于 两 个 组 ,那么 ,在 Al 账号 下 开发 
的 任何 文件 ,程序 及 工具 ,只 有 在 它们 可 用 于 整个 系统 时 才能 由 A2 使 用 。 这 样 ,会 导致 账 
号 猛 增 , 文 件 元 余 , 系 统 开销 增加 ,使 用 不 便 。 

3. 单独 许可 保护 

单独 许可 保护 是 指 允 许 用 户 对 单个 文件 进行 保护 ,或 者 进行 临时 权限 设置 。 在 这 种 类 
型 的 文件 保护 措施 中 ,口令 得 到 了 简单 的 应 用 。 

文件 的 口令 保护 机 制 是 ,用 户 将 口令 赋 给 一 个 文件 ,对 该 文件 的 存 取 只 限于 提供 正确 口 
令 的 用 户 。 口 令 既 可 用 于 任何 存 取 权限 ,也 可 只 限于 一 种 权限 ,还 可 以 为 每 个 文件 产生 出 不 
同 的 口令 。 文 件 口 令 的 设置 必须 考虑 类 似 于 身份 鉴别 口令 一 样 的 问题 ,例如 口令 的 丢失 、 汇 
漏 、 取 消 等 问题 。 如 果 用 户口 令 丢 失 ( 忘 记 ) ,不 能 一 般 地 替换 ,系统 管理 员 通 常 也 不 能 确定 
用 户 的 口令 ,但 可 采取 特殊 的 手段 去 掉 或 者 设置 新 口令 。 如 果 口 令 泄漏 给 非 授 权 者 ,文件 就 
不 安全 ,用 户 则 需 改变 口令 重新 保护 文件 ,并 将 新 口令 通知 组 内 和 其 他 所 有 合法 用 户 。 若 要 
撤回 用 户 对 某 一 文件 的 存 取 权 ,也 必须 改变 口令 。 而 且 , 考 虑 安全 的 时 效 性 ,用 户 可 以 阶段 
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性 地 对 重要 文件 改变 并 设置 新 的 口令 。 

临时 权限 获取 是 另 一 类 单独 许可 。 在 UNIX 系统 中 ,文件 保护 为 三 个 层次 , 即 用 户 、 组 
和 其 他 用 户 。UNIX 提供 了 一 种 设置 用 户 标 识 suid 的 许可 。 对 要 执行 的 文件 设置 这 种 保 
护 , 其 保护 级 别 为 文件 的 属 主 而 非 执 行者 。 例 如 ,用 户 A 拥有 一 个 文件 并 允许 用 户 B 执行 ， 
那么 ,用 户 B 执行 该 文件 时 应 当 有 A 的 保护 权限 ,而 非 自 己 的 权限 。 这 种 独特 许可 方式 是 
很 有 用 的 , 它 允 许 用 户 建立 一 个 仅 能 通过 特定 过 程 才能 存 取 的 文件 。 又 如 ,用 户 A 编写 了 
一 个 应 用 程序 , 仅 A 有 存 取 权 , 并 借助 suid 保护 。 如 果 用 户 B 运行 该 程序 ,他 仅 在 程序 运 
行 时 临时 获得 A 的 许可 权 , 当 B 从 该 程序 退出 时 ,他 重新 获得 其 自身 的 存 取 权 而 放弃 A 所 
赋予 的 权限 。 这 种 安全 机 制 适用 于 普通 用 户 以 事先 规定 的 方式 所 完成 的 系统 功能 。 即 只 有 
系统 才能 修改 用 户 的 口令 文件 ,单个 用 户 则 能 任意 改变 自己 的 口令 。 借 助 suid 特性 ,口令 
改变 程序 为 系统 所 有 , 它 有 权 存 取 整 个 系统 的 口令 表 , 该 程序 本 身 也 具有 suid 保护 。 

将 单 许可 保护 扩展 ,可 形成 单 实体 及 单 用 户 保护 。 利 用 前 述 的 存 取 控制 表 或 存 取 控制 
和 矩阵 ,可 以 提供 非常 灵活 的 保护 方式 。 例 如 ,VMS _SE 操作 系统 采用 存 取 控制 表 (ACL) ,可 
对 任何 文件 建立 ACL ,指定 能 存 取 该 文件 的 主体 和 拥有 的 存 取 类 型 。 对 位 于 不 同 组 中 的 用 
户 ,系统 管理 员 使 用 普通 标识 符 建立 一 个 有 效 组 ,允许 其 中 的 成 员 存 取 某 个 文件 。 例 如 ,一 
个 软件 开发 项 目 ,程序 员 A 属于 第 一 组 ,B 属于 第 二 组 ,C 和 D 属于 第 三 组 ,从 软件 开发 目 
的 出 发 ,系统 用 一 个 标识 符 PROJ 包含 这 四 个 程序 员 , 人 允许 PROJ 下 的 成 员 存 取 某 个 或 某 
些 文件 ,而 不 让 同 在 第 一 、 二 ,三 组 中 的 其 他 成 员 存 取 该 文件 ,从 而 形成 了 一 种 实体 保护 。 在 
VMS 操作 系统 中 ,也 可 以 将 ACL 用 于 特定 设备 或 者 设备 类 型 ,允许 用 户 访 问 特定 的 打印 
机 、 电 话 线路 .调制解调器 以 及 限制 网 络 存 取 等 。IBN MVS 操作 系统 增加 了 资源 存 取 控制 
设施 (RACF) 为 其 数据 集 提供 了 类 似 的 保护 方式 ,系统 允许 文件 属 主 给 文件 赋予 默认 保护 
(允许 所 有 用 户 存 取 ) ,然后 为 特定 用 户 赋予 存 取 保护 类 型 。 


11.2.3 ”用 户 鉴别 机 制 


操作 系统 中 许多 保护 措施 都 是 以 确认 用 户 的 身份 , 即 判 断 是 否 系统 的 合法 用 户 为 基础 
的 。 身 分 鉴别 是 操作 系统 中 相当 重要 的 一 个 方面 ,也 是 用 户 获取 权限 的 关键 。 为 防止 非法 
用 户 存 取 系统 资源 ,操作 系统 采取 了 切实 可 行 的 、 极 为 严密 的 安全 措施 。 身 份 认 证 和 鉴别 目 
前 可 以 通过 多 种 媒体 手段 实现 ,例如 证 件 、 文 件 、 图 片 .声音 等 ,基于 这 些 鉴 别 媒体 的 系统 已 
经 开发 出 并 付 之 应 用 。 用 户 认证 机 制 包括 两 个 方面 , 即 用 户 识别 和 验证 。 

用 户 识别 是 “一 对 多 ”的 搜索 和 发 现 过 程 。 例 如 ,日 常生 活 中 遇见 一 个 人 ,人 们 就 会 反复 
搜索 脑 中 的 记忆 ,直至 明确 他 或 她 的 身份 。 当 然 也 有 失败 的 时 候 , 会 认错 人 ,这 种 错 认 是 识 
别 的 弱点 。 识 别 的 安全 问题 一 般 是 基于 知识 财产、 特征 等 识别 项 或 者 它们 的 组 合 来 考虑 
的 。 知 识 是 个 人 所 已 知 的 某 些 东 西 ,如 口令 ` 个 人 身份 代码 等 。 财 产 是 个 人 具有 的 某 些 东 
西 , 如 ID 卡 、 护 照 . 钥 匙 等 。 特 征 则 是 个 人 的 生理 特征 ,如 面孔 ,声音 、 指 纹 等 。 生 理 特 征 不 
会 轻易 地 被 忘记 、 遗 失 和 盗窃 ,而 知识 、 财 产 项 则 可 能 被 窃取 和 欺骗 ,因此 ,基于 生理 特征 的 
识别 和 验证 机 制 已 经 进入 实用 。 

用 户 验证 没有 识别 所 具有 的 弱点 ,因为 它 是 “一 对 一 ”的 过 程 。 通 过 一 对 一 的 声明 、 提 
问 应答, 能够 证 实 我 们 不 曾 相识 的 .自称 为 某 人 的 人 是 真实 的 。 当 然 , 也 存在 特征 与 标志 的 
伪造 ,因此 ,验证 不 会 简单 地 给 出 是 与 不 是 的 回答 ,而 是 给 出 识别 某 人 的 可 信 等 级 。 在 安全 
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性 系统 验证 中 ,一 般 给 出 两 种 错误 率 , 即 错误 拒绝 率 (PRR) 和 错误 接受 率 (PAR)。 错 误 拒 
绝 率 (用 户 被 拒绝 ) 约 小 于 十 万 分 之 一 ,而 错误 接受 率 (黑客 入 侵 ) 则 允许 在 1 : 20 左右 。 高 
可 靠 性 的 系统 要 求 错误 接受 率 几 乎 为 零 , 仅 允 许 极 低 的 错误 拒绝 率 。 限 于 篇 幅 , 本 节 仅 讨论 
常用 鉴别 机 制 。 

随 着 多 用 户 终端 系统 (也 称 终端 网 络 ) 和 计算 机 网 络 的 普及 ,计算 机 系统 在 许多 场合 
是 不 安全 的 ,容易 受到 入 侵 和 攻击 ,任何 人 都 可 以 试图 登录 进入 系统 。 所 以 ,身份 鉴别 机 
制 必须 基于 计算 机 系统 和 人 双方 都 能 够 认可 的 鉴别 媒体 和 知识 。 最 常见 的 身份 鉴别 机 
制 是 口令 (password) 。 此 外 ,数字 签名 ,指纹 识别 .声音 辨识 等 操作 系统 安全 机 制 也 正在 建 
立 之 中 。 

1. 口令 

口令 是 计算 机 和 用 户 双 方 都 知道 的 某 个 “关键 字 ”(Keyword) ,是 一 个 需要 严 加 保护 的 
对 象 , 它 作为 一 个 确认 符号 串 只 能 由 用 户 和 操作 系统 本 身 识别 。 然 而 ,口令 的 实际 使 用 往往 
降低 了 其 安全 性 。 下 面 ,我 们 着 重 讨论 口令 设置 .选择 .认证 与 鉴别 ,以 及 口令 使 用 中 的 问 
题 。 口 令 是 相互 认可 的 编码 .单词 或 关键 字 , 并 保证 只 被 用 户 和 系统 知道 。 在 某 些 场合 ， 
用 户 选择 设置 口令 ,而 在 另 一 些 场合 ,由 系统 设置 和 指派 口令 。 口 令 的 长 度 及 格式 随 系 统 的 
不 同 而 异 。 口 令 的 使 用 相当 简单 , 当 用 户 输入 某 一 标识 ,如 姓名 或 者 用 户 标识 号 后 ,系统 再 
提示 用 户 输入 口令 。 前 者 是 公开 或 者 容易 猜 到 的 ,未 真正 提供 系统 安全 。 用 户 再 输入 的 口 
令 若 与 系统 记录 的 口令 相 匹配 , 则 该 用 户 被 系统 所 认证 , 若 口令 匹配 失败 ,用 户 可 能 输 错 口 
令 , 系 统 将 提示 再 次 输入 。 

1) 口令 的 安全 性 

口令 的 安全 性 是 操作 系统 设计 时 需要 认真 考虑 的 问题 , 它 包 括 口令 字符 串 的 选择 .口令 
数据 的 存放 ,口令 的 查找 匹配 等 。 系 统 入侵 者 往往 采用 下 面 的 几 种 方式 试探 和 套 出 口令 对 
系统 进行 攻击 。 如 : 采用 穷 举 法 尝试 所 有 可 能 的 口令 、 利 用 经 验 法 尝试 最 常用 和 可 能 的 口 
令 .搜索 系统 中 的 口令 表 、 询 问 用 户 ,编程 截取 套用 口令 等 。 

由 于 口令 所 包含 的 信息 位 较 少 ,因此 , 它 作 为 一 种 保护 机 制 是 很 有 限 的 。 一 个 短 的 和 明 
显 的 口令 很 容易 被 识破 ,使 人 侵 者 破坏 安全 注册 有 了 可 乘 之 机 。 在 穷 举 攻击 中 ,和 人 侵 者 尝试 
所 有 可 能 的 口令 ,其 数目 依赖 于 特定 系统 的 实现 。 这 种 办 法 对 临时 入 侵 者 是 很 难 实现 的 ,对 
专业 破译 者 也 被 局 限 在 计算 复杂 性 中 。 例 如 ,如 果 规 定 口令 为 A 一 Z 的 字符 组 成 ,长 度 在 
1 一 8 个 字符 之 间 , 那 么 ,一 个 字符 的 口令 有 26 个 ,2 个 字符 的 口令 有 26: 个 ,8 字符 的 口令 
有 26 个 ,可 见 , 整 个 系统 可 能 的 口令 总 数 为 


s 
Np = 2)26: ~ 2.17 X10 
i=1 


若 试探 者 每 千 分 之 一 秒 尝试 一 个 口令 ,测试 完 所 有 口令 也 将 花 去 约 7 年 (还 不 包括 大 写字 
母 ) ,这 实际 上 是 不 可 行 的 。 

如 果 口 令 均 匀 分 布 ,查找 期 望 口令 的 搜索 次 数 为 口令 总 数 的 一 半 ,然而 口令 常常 并 不 是 
均匀 分 布 的 。 由 于 人 的 思考 记忆 方式 和 心理 因素 ,常常 选择 那些 简单 , 易 记 、 有 某 种 规律 和 
特征 或 者 对 自己 有 某 种 意义 的 字 词 作 口 令 。 攻 击 者 利用 人 们 的 这 些 习惯 ,有 目的 地 分 类 
地 尝试 获取 口令 。 例 如 ,只 测试 长 度 小 于 或 者 等 于 3 的 口令 仅 需 18 秒 。 若 假定 口令 为 常 
用 英文 单词 ,对 含有 8 万 常用 单词 字典 的 检查 仅 需要 80 秒 。 如 果 用 户 采 用 与 自身 有 关 的 
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东西 作为 口令 ,如 亲友 名 \ 动 物 、 街 道 .重要 日 期 等 ,尝试 成 功 的 可 能 性 就 更 大 。 研 究 表明 , 采 
用 这 种 相关 性 进行 口令 探查 的 成 功 概率 甚至 达到 86% 。 

2) 口令 记录 与 查找 

系统 口令 表 或 口令 文件 也 是 攻击 者 的 目标 。 因 为 口令 验证 需要 将 用 户 输入 的 口令 与 系 
统 记录 的 口令 进行 比较 确认 ,如 果 攻 击 者 找到 系统 记录 的 口令 ,就 不 必 去 花费 心机 猜测 。 系 
统 中 用 户 的 口令 与 用 户 ID 一 起 形成 一 个 列表 ,这 个 表 是 一 个 关键 数据 结构 ,根据 系统 设计 
不 同 , 它 可 以 作为 一 个 文件 存放 在 磁盘 等 辅助 存储 器 中 ,也 可 作为 一 个 特殊 块 存放 在 磁盘 某 
个 区 域 , 而 且 , 为 了 加 快 系统 响应 ,该 口令 表 的 副本 还 可 能 调 入 内 存 。 入 侵 者 可 能 利用 操作 
系统 的 某 个 漏洞 找到 这 个 表 , 从 而 盗 取 口令 。 

口令 表 的 安全 保护 是 强制 性 的 , 仅 允 许 操 作 系统 本 身 存 取 ,或 者 进一步 强制 为 仅 允 许 那 
些 需要 访问 该 表 的 系统 模块 (如 用 户 身 份 鉴别 模块 .用 户 登录 注册 或 注销 模块 ) 存 取 , 不 允许 
其 他 无 关 的 系统 模块 (如 调度 程序 、 记 账 程序 或 存储 管理 模块 ) 存 取 。 对 于 采用 文件 或 数据 
区 方式 存放 的 口令 集 来 说 ,必须 防止 入 侵 者 采用 磁盘 分 析 程 序 、 磁 盘 诊 断 工具 等 软件 查找 口 
令 , 对 敏感 磁盘 区 域 进行 保护 。 而 对 于 查找 内 存 口令 副本 的 入 侵 者 ,要 防止 利用 内 存 转 储 、 
内 存 映 像 等 方式 套 出 全 部 内 存 数据 ,经 过 搜索 分 析 找 到 看 似 口令 表 的 数据 。 此 外 ,为 了 在 出 
错时 恢复 系统 ,有 的 系统 要 求 周 期 性 地 后 备 某 些 文件 ,由 于 后 备 信息 存放 在 磁盘 或 者 磁带 等 
并 不 具有 专门 存 取 控 制 的 介质 上 ,对 这 些 后 备 数据 信息 的 分 析 也 可 能 导致 口令 表 文 件 泄密 。 
所 以 ,一 般 情 况 下 ,口令 表 以 明文 形式 存放 是 不 允许 的 ,对 口令 的 加 密 存 放 将 大 大 加 强 口令 
的 安全 系数 。 

系统 口令 的 记录 除了 存放 在 磁盘 上 ,还 可 以 存放 在 可 写 非 易 失 存储 器 中 ,例如 ,存放 在 
CMOS 芯片 的 寄存 器 或 存储 器 中 ,系统 关机 后 可 由 电池 维持 记录 。 用 户 输入 口令 既 可 放 和 人 
内 存 , 也 可 存 人 磁盘 中 。 

3) 口令 的 选择 

口令 的 选择 是 一 个 重要 问题 ,必须 选择 合适 的 口令 ,并 使 口令 很 难 被 猜 出 且 很 难 确定 。 
对 口令 选择 的 建议 如 下 : 

第 一 ,增加 组 成 口令 的 字符 种 类 。 除 采用 A 一 2Z 的 字母 外 ,增加 字符 种 类 可 增加 口令 的 
破译 难度 。 例 如 , 仅 采 用 大 写 A~Z 字母 ,只 有 26 种 口令 ,加 上 大 小 写 和 数字 后 成 为 62 种 ， 
车 采用 这 些 字符 的 组 合 , 则 大 大 增加 了 口令 的 选择 度 和 破译 难度 。 检 测 仅 由 一 种 方式 (如 大 
写字 母 ) 的 字母 组 成 的 所 有 6 字母 单词 将 花费 约 100 小 时 ,而 检测 由 大 小 写 和 数字 字符 组 
成 的 所 有 6 字符 口令 将 需要 2 年 。 从 而 使 此 种 攻击 方法 失去 吸引 力 。 

当 口 令 的 字符 数 超过 5 时 ,其 组 合 数 将 呈 爆 炸 型 增长 趋势 。 口令 越 长 ,被 发 现 和 破译 
的 可 能 性 就 越 低 。 

第 二 ,避免 使 用 常规 名 称 、 术 语 和 单词 。 非 常规 的 字符 组 合 会 增 大 攻击 者 穷 举 搜索 的 难 
度 , 而 不 能 使 用 简单 的 字典 搜索 。 因 此 . 既 要 选择 不 太 可 能 的 字符 串 作 口令 ,又 需要 易于 记 
忆 。 这 是 一 对 矛盾 ,因此 ,可 以 采用 用 户 的 私人 词汇 中 对 自己 有 意义 ,而 对 别人 似 无 意义 的 
字符 串 ,例如 : 采用 2Brn2B, 看 似 无 意义 ,其 实 它 是 “to be or not to be” 的 缩写 变换 ,很 难 被 
识破 。 为 帮助 用 户 选择 口令 ,有 的 操作 系统 (如 VMS) 随机 地 产生 一 些 口令 让 用 户 挑选 ， 
这 些 口 令 虽 无 意义 但 可 以 拼 读 .可 以 有 效 地 使 用 。 

第 三 ,保护 口令 秘密 。 不 要 将 口令 书面 记录 ,也 不 要 告诉 任何 人 ,并 且 定 期 更 换 口令 , 放 
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弃 过 时 的 口令 。 有 的 操作 系统 在 口令 到 期 后 提示 并 告警 用 户 改换 口令 ,或 在 口令 失效 后 禁 
止 用 户 操 作 和 存 取 ,或 者 强迫 用 户 修改 口令 ,这 就 更 增 大 了 口令 使 用 的 安全 性 。 更换 口令 
时 ,为 了 防止 口令 的 重用 ,操作 系统 会 拒绝 最 近 使 用 过 的 口令 ,防止 重复 使 用 导致 失 密 。 

第 四 ,采用 一 次 性 口令 。 一 次 性 口令 是 每 次 使 用 后 都 作 更 换 的 口令 。 这 里 ,由 操作 系统 
指定 一 个 数学 函数 ,提供 该 函数 的 一 个 变量 ,用 户 计算 并 返回 函数 值 ,按照 用 户 的 响应 判断 
其 真实 性 。 这 种 口令 的 机 密 性 能 好 .而且 , 在 网 络 的 主机 通信 中 可 使 用 非常 复杂 的 函数 代替 
简单 的 口令 函数 。 例 如 ,采用 函数 f(x) 二 zx 十 1, 系 统 实施 时 提示 用 户 一 个 x 值 ,而 用 户 输 
入 z 十 1, 系 统 根据 响应 确认 。 又 如 ,采用 函数 f(aiazasasasas) 二 arasaasas ,此 时 ,操作 系统 
提供 特征 串 , 用 户 必须 以 某 种 方式 变换 此 字符 串 , 输 入 后 进行 口令 认证 , 它 同 样 可 以 有 多 种 
不 同 的 字符 操作 。 采 用 一 次 性 口令 进行 身份 鉴别 是 相当 保密 的 ,因为 截取 到 的 口令 是 无 用 
的 ,不 过 ,要 求 用 户 记 住 给 出 口令 响应 值 的 算法 ,受到 记忆 算法 的 复杂 性 限制 。 

4) 口令 的 加 密 

口令 或 口令 文件 加 密 后 ,文件 内 容 对 入 侵 者 将 毫 无 用 途 ,通常 采用 的 加 密 口 令 表 的 方法 
是 传统 加 密 法 和 单 向 加 密 法 。 

传统 加 密 法 加 密 整 个 口令 表 或 者 只 加 密 口令 序列 , 当 系 统 收 到 用 户 输 入 的 口令 后 ,所 存 
储 的 口令 被 解密 ,然后 将 两 者 进行 比较 。 该 方法 的 缺陷 在 于 ,在 某 一 瞬间 会 在 内 存 中 得 到 用 
户口 令 的 明文 ,任何 人 只 要 拥有 对 内 存 的 存 取 权 即 可 获得 。 

单 向 加 密 法 是 更 常用 的 更 安全 的 口令 加 密 法 , 它 是 一 种 加 密 相对 简单 但 解密 却 相当 难 
的 加 密 函 数 。 例 如 ,函数 X 很 容易 计算 ,但 其 逆 函 数 VX 却 很 难 计算 。 口 令 表 中 的 口令 以 
密 文 形式 存放 ,用 户 输 入 的 口令 也 被 加 密 , 然 后 将 两 种 加 密 形式 进行 比较 ,车 相等 则 口令 认 
证 成 功 , 该 算法 必须 保证 两 个 口令 不 能 有 相同 的 密 文 。 采 用 单 向 加 密 的 口令 文件 可 以 以 一 
种 可 见 形式 存放 ,此 时 ,用 户 均 可 读 口 令 表 ,口令 表 的 后 备 也 不 再 是 一 个 问题 ,然而 要 破译 口 
令 表 则 不 是 一 件 容易 的 事 。 

如 果 两 个 用 户 选择 了 同样 的 密 钥 ,会 在 口令 表 中 建立 两 个 相同 的 记录 ,此 时 ,即使 这 些 
记录 是 加 密 的 ,用 户 也 会 知道 它们 的 明文 是 相同 的 。 如 何 克 服 这 一 缺陷 呢 ? UNIX 操作 系 
统 中 对 口令 进行 了 扩展 ,用 称 为 “保留 信息 ”的 方法 来 克服 此 缺陷 。 保 留 信息 是 由 系统 时 间 
和 进程 标识 符 组 成 的 12 位 数字 ,因此 , 它 对 每 个 用 户 来 说 是 唯一 的 。 用 户 选 择 口 令 时 也 将 
保留 信息 加 到 口令 上 存储 ,由 于 用 户 选择 口令 的 时 间 和 用 户 标识 不 同 , 其 保留 信息 也 不 一 
样 ,于 是 ,两 个 用 户口 令 虽 同 , 但 加 密 后 的 结果 将 完全 不 同 。 若 此 时 查看 口令 表 , 两 者 的 口令 
加 密 形式 将 不 再 一 样 。 

口令 表 也 可 以 施 以 伪装 、 加 上 存 取 限制 ,使 表 的 内 容 和 存 取 控 制 提供 两 层 安全 ,即使 入 
侵 者 进入 系统 ,他 也 无 法 获取 有 用 信息 。 

口令 的 设置 是 非常 巧妙 的 ,正确 有 效 地 利用 口令 机 制 能 够 有 效 地 保护 计算 机 系统 不 受 
攻击 和 入 侵 , 而 研究 口令 的 记录 、 存 放 、 搜 索 和 比较 方法 ,更 增加 了 口令 的 机 密 性 和 安全 性 ， 
因此 ,几乎 每 个 操作 系统 都 将 口令 机 制作 为 首选 的 身份 鉴别 机 制 。 

2. 其 他 身份 鉴别 机 制 


下 面 介绍 其 他 身份 鉴别 机 制 。 
(1) 多 重 鉴别 机 制 。 采 用 多 重 口令 是 防止 入 侵 者 进入 系统 的 一 种 方法 ,在 系统 登录 的 
各 个 环节 、 系 统 操作 的 某 个 层次 ,都 可 以 设置 口令 和 关键 字 , 只 有 每 次 口令 都 正确 ,才能 真正 
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进入 系统 。 即 使 人 侵 者 窃取 到 了 开始 的 登录 口令 ,也 很 难 获取 所 有 口令 。 而 在 多 口令 中 的 
每 一 处 口令 若 失败 ,也 可 以 退回 到 最 开始 登录 过 程 , 或 者 给 出 安全 报警 。DEC 的 VMS 操 
作 系 统 就 提供 了 多 口令 保护 技巧 .这些 技巧 可 以 由 用 户 使 用 或 者 由 安全 管理 员 提 供 ,并 且 能 
限制 人 侵 者 猜测 口令 的 次 数 。 将 身份 鉴别 与 存 取 权限 等 其 他 机 制 相 结合 ,可 以 形成 多 种 多 
重 鉴别 机 制 。 例 如 ,辅助 以 存 取 权限 , 当 用 户 无 任何 正当 理由 企图 存 取 其 他 用 户 或 者 系统 保 
密 区 域 时 ,该 用 户 被 鉴别 为 非法 用 户 ,系统 检测 到 这 些 违章 存 取 操作 时 ,可 以 记录 ,停止 \ 断 
开 或 挂 起 这 些 操作 ,给 出 警告 ,直到 系统 安全 管理 员 清除 这 一 现象 。 

(2) 登录 应 答 机 制 。 这 是 利用 一 次 性 口令 的 概念 ,与 用 户口 令 配合 使 用 的 身份 鉴别 。 
我 们 知道 ,登录 通常 是 不 随时 间 变 化 的 ,除了 更 换 口令 外 ,每 次 登录 都 没有 什么 差异 。 如 果 
采用 应 答 机 制 , 系 统 对 用 户 的 响应 在 用 户 每 次 登录 时 都 不 一 样 。 例 如 ,系统 显示 一 个 四 位 数 
字 , 每 个 用 户 采 用 不 同 的 应 答 函 数 进行 运算 ,并 给 出 回答 ,确认 后 再 进入 系统 ,或 者 再 输入 口 
令 。 由 于 存在 许多 种 应 答 函 数 ,即使 人 侵 者 窃取 了 用 户 标识 和 口令 ,也 不 一 定 能 够 推导 出 相 
应 的 应 答 函 数 。 

(3) 辅助 身份 鉴别 。 采 用 某 些 物理 设备 可 以 进行 辅助 身份 鉴别 。 这 些 设备 包括 笔迹 鉴 
别 器 ,声音 识别 器 .指纹 识别 器 .视网膜 识别 器 等 ,这 些 设备 的 身份 鉴别 具有 不 可 伪造 特性 ， 
虽然 目前 价格 昂贵 ,但 随 着 市 场 需求 的 增加 ,价格 将 会 逐渐 降低 ,并 与 操作 系统 配合 可 以 获 
得 极 高 的 安全 性 ,可 用 于 极端 保密 环境 。 将 用 户 限 制 在 特定 物理 终端 和 机 位 上 、 或 者 限制 在 
特定 的 时 间 内 使 用 机 器 ,也 是 辅助 身份 鉴别 的 一 种 方法 。 它 便于 系统 管理 和 以 后 的 系统 安 
全 审计 。 

3. 身份 鉴别 机 制 存在 的 问题 

在 用 户 身 份 鉴 别 过 程 中 ,会 存在 一 些 缺 陷 , 最 常见 的 则 是 口令 或 标识 的 窃取 。 对 于 口令 
机 制 ,我 们 假定 知道 口令 的 人 是 口令 的 拥有 者 ,然而 ,口令 可 能 被 猜 中 、 推 导 或 者 推 想 出 来 ， 
或 者 在 用 户 使 用 时 窥视 .窃取 到 。 那 么 ,口令 的 真实 性 就 成 为 身份 鉴别 本 身 的 一 个 问题 : 口 
令 的 真实 性 需要 有 更 令 人 信服 的 证 据 。 由 于 在 常规 系统 中 ,证 据 是 单方 面 的 ,系统 需要 用 户 
特定 的 标识 ,而 用 户 必 须 信任 系统 。 人 入侵 者 采用 假冒 登录 过 程 ,就 会 很 容易 地 套 取 口令 和 用 
户 标识 。 例 如 ,入 侵 者 用 一 段 简单 的 程序 仿效 系统 登录 和 屏幕 提示 ,程序 建立 后 ,故意 离开 
终端 或 者 站 点 机 ,等 待 天 真 的 受骗 者 登录 。 此 时 , 假 登录 程序 记录 用 户 所 输入 的 口令 及 标 
识 , 并 保存 在 入侵 者 指定 的 文件 中 ,同时 提示 用 户 登 录 错 误 而 退出 回 到 系统 真正 登录 过 程 。 
这 种 攻击 是 一 种 特洛伊 森马, 天真 的 用 户 不 会 怀疑 他 的 口令 和 标识 已 经 泄漏 .被 窃取 。 要 防 
止 这 类 攻击 ,用 户 应 当 确信 进入 系统 的 路 径 每 次 都 被 初始 化 。 例 如 ,系统 采用 一 个 热 键 (如 
Break) 按 下 后 终止 该 终端 所 运行 的 任何 进程 ,并 启动 初始 登录 进程 。 此 外 ,用 户 也 要 确认 
系统 的 合法 性 ,在 此 之 前 不 会 输入 保密 数据 或 口令 。 例 如 ,系统 可 提示 用 户 最 近 登 录 的 时 间 
(此 时 间 也 可 加 密 ) ,用 户 在 输入 口令 之 前 先 证 实 日 期 和 时 间 是 否 正 确 , 确 认 在 以 前 的 登录 中 
未 有 口令 截取 ,于 是 输入 该 时 间 标 志 及 口令 。 


11.2.4 存 取 控 制 机 制 


内 存 保护 是 实体 保护 中 的 特例 , 随 着 多 道 程序 概念 的 扩展 ,可 共享 的 实体 种 类 和 数目 不 
断 上 升 ,需要 保护 的 实体 也 扩展 到 存储 器 、 可 执行 程序 、 文 件 目 录 、1/O 硬 设备 、 系 统 数 据 结 
构 ( 堆 栈 、 表 ,特权 指令 等 ) .口令 及 身份 鉴别 以 及 保护 机 制 本 身 。 存 取 是 保护 机 制 的 关键 , 存 
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取 点 的 数目 很 大 , 且 所 有 存 取 不 可 能 通过 某 个 中 心 授 权 机 制 进行 , 存 取 的 种 类 也 不 只 限于 
读 、 写 和 执行 。 存 取 一 般 通过 程序 来 完成 ,因此 ,程序 可 被 看 作 存 取 的 媒介 。 存 取 控 制 机 制 
对 保护 实体 实现 如 下 目标 。 

(1) 设置 存 取 权限 : 为 每 一 主体 设 定 对 某 一 实体 的 存 取 权限 ,具有 授权 和 撤 权 功能 。 

(2) 检查 每 次 存 取 : 超越 存 取 权限 的 行为 被 认为 是 非法 存 取 ,予以 拒绝 、 阻 塞 或 告警 ， 
并 防止 撤 权 后 对 实体 的 再 次 存 取 。 

(3) 允许 最 小 权限 : 最 小 权限 原则 限定 了 主体 为 完成 某 些 任 务必 须 具 有 的 最 小 数目 的 
实体 存 取 权限 , 除 此 之 外 ,不 能 进行 额外 的 信息 存 取 。 

(4) 存 取 验证 : 除了 检查 是 否 存 取 外 ,应 检查 在 实体 上 所 进行 的 活动 是 否 是 适当 的 ,是 
正常 的 存 取 还 是 非 正常 的 存 取 。 

上 述 权 限 保 护 机 制 在 操作 系统 中 得 到 了 广泛 应 用 ,下 面 的 讨论 针对 一 般 实体 的 保护 机 
制 ,它们 可 以 用 于 前 述 的 任何 种 类 的 实体 。 

1, 目录 控制 表 

我 们 以 文件 目录 保护 来 说 明 这 种 简单 权限 ,其 概念 可 推广 至 任意 实体 及 主体 。 由 前 所 
述 , 对 文件 的 主要 权限 是 读 、 写 和 执行 ,此 外 ,还 有 另外 一 种 权限 即 授权 和 撤 权 , 它 属于 某 个 
主体 ( 属 主 (owner)) 。 每 个 文件 具有 唯一 的 属 主 ,拥有 大 多 数 存 取 权 限 , 包 括 对 其 他 主体 赋 
予 权限 和 随时 撤回 权限 。 

以 文件 目录 为 例 ,系统 不 允许 任何 用 户 写 入 文件 目录 ,以 防伪 造 存 取 文件 。 于 是 ,禁止 
用 户 直 接 对 目录 存 取 ,但 用 户 可 通过 系统 进行 合理 的 目录 操作 。 目 录 机 制 使 每 个 用 户 有 一 
张 表 , 表 中 列 出 该 用 户 允 许 存 取 的 所 有 实体 。 对 某 些 共 享 实体 (如 子 程序 库 和 公用 表格 ) 所 
有 用 户 均 可 存 取 , 即 使 他 们 不 用 ,也 仍然 列 入 目录 表 中 。 所 以 ,目录 机 制 是 最 简单 的 存 取 权 
限 控制 。 

授权 与 撤 权 是 权限 控制 中 的 重要 问题 ,两 者 代表 了 一 种 可 信任 度 。 例 如 , 属 主 A 将 文 
件 F 的 读 权限 赋予 (传递 给 ) 用 户 S, 则 必须 在 S 的 目录 中 记录 下, 此 时 ,A 和 S 具有 相同 的 
可 信任 级 别 。 属 主 A 也 可 以 随时 撤回 S 的 这 种 权限 ,操作 系统 只 需 简单 地 删除 S 对 F 的 
存 取 权限 ,删除 该 目录 下 的 这 个 记录 即 可 。 当 然 ,在 大 型 系统 中 这 种 搜索 会 增加 系统 开销 ， 
如 果 S 又 将 存 取 下 的 权限 传递 给 另 一 用 户 , 则 可 能 造成 撤 权 不 彻底 。 

目录 存 取 权限 会 产生 别名 问题 和 多 存 取 权限 ,使 目录 机 制 不 适应 复杂 的 系统 。 例 如 ,有 
两 个 用 户 A 和 B, 分 别 有 两 个 不 同 的 文件 被 命名 为 下 ,它们 又 同时 可 被 S 存 取 ,但 在 S 的 目 
录 中 不 能 同时 有 两 个 相同 文件 名 ,必须 对 这 两 个 文件 采用 唯一 的 标识 。 于 是 ,就 产生 了 属 主 
名 成 为 文件 名 的 一 部 分 ,如 A : F 和 B:F 形式 ,有 的 系统 称 为 路 径 名 (pathname)。 如 果 S 
为 避免 重 名 将 A : 下 重新 命名 为 G, 它 可 能 忘记 G 来 自 A, 并 在 某 个 时 候 再 向 A 请 求 F， 
A 也 可 能 再 向 S 授权 存 取 下。 此 时 ,S 目录 中 就 有 了 不 同 的 对 下 的 存 取 权限 集 ,一 个 用 G， 
另 一 个 用 F。 因 此 ,允许 使 用 别名 将 产生 多 次 请 求 的 可 能 ,每 次 请 求 也 并 非 一 样 ,使 目录 机 
制 变 得 更 复杂 ,反而 影响 了 安全 性 。 

2. 存 取 控 制 表 与 控制 矩阵 

存 取 控 制 表 (Access Control List) 是 实体 记录 所 有 可 存 取 该 实体 的 主体 及 存 取 方 式 的 
一 类 数据 结构 。 每 个 实体 都 有 这 样 一 张 表 , 它 不 同 于 目录 表 , 目 录 是 由 每 个 主体 建立 的 ,而 
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存 取 控 制 表 是 对 每 个 实体 建立 的 。 因 此 ,可 将 目录 控制 表 看 作 单 个 主体 能 存 取 的 实体 表 ,而 
将 存 取 控 制 表 看 作 能 存 取 单 个 实体 的 主体 表 , 所 有 数据 在 两 种 表示 中 是 等 价 的 ,区 别 在 于 它 
们 适用 的 场合 。 

采用 存 取 控制 表 , 可 以 对 所 有 用 户 采 用 一 般 的 默认 记录 (默认 权限 集 ) ,而 对 特定 用 户 
赋予 某 个 显 式 权限 。 这 样 ,公共 文件 或 程序 就 可 为 系统 中 所 有 用 户 共 享 ,而 无 须 在 每 个 用 户 
的 目录 下 记录 该 实体 ,使 公共 实体 的 控制 表 可 以 非常 小 。 存 取 控 制 表 可 以 按 分 类 次 序 组 织 ， 
存 取 许 可 检查 仅 找 出 第 一 个 满足 条 件 的 记录 。 例 如 ,主体 A 与 B 同时 存 取 实体 下, 操作 系 
统 只 维护 F 的 存 取 表 。MULTICS 操作 系统 采用 这 种 方式 建立 存 取 权限 , 表 中 每 个 用 户 属 
于 三 个 不 同 保护 类 , 即 用 户 、 组 和 隔离 组 。 用 户 表示 特定 主体 ,组 包括 具有 共同 兴趣 或 关系 
的 多 个 用 户 , 隔 离 组 用 于 限制 非 信任 实体 。 

如 果 将 存 取 表 以 另 一 种 方式 表示 ,可 以 形成 存 取 控制 矩阵 (Access Control Matrix) 。 
矩阵 的 行 表 示 主 体 , 列 表示 实体 ,每 个 记录 则 表示 主体 对 实体 的 存 取 权 限 集 。 通 常 , 存 取 控 
制 矩 阵 是 很 稀 琉 的 ,大 多 数 主体 对 大 多 数 实体 并 无 存 取 权限 。 由 于 它 是 一 个 三 维 向 量 ( 主 
体 、 实 体 和 权限 ) , 当 搜索 数目 很 大 时 系统 开销 也 很 大 ,使 系统 效率 降低 ,实际 实现 中 很 少 使 
用 这 种 方式 。 

3. 权能 

权能 (capability) 是 一 个 提供 给 主体 对 实体 具有 特定 权限 的 不 可 伪造 标志 。 其 原理 是 
主体 可 以 建立 新 的 实体 ,并 指定 这 些 实体 上 允许 的 操作 。 它 作为 一 张 凭证 ,允许 主体 在 某 一 
实体 上 完成 特定 类 型 的 存 取 ,而 且 该 凭证 是 不 可 伪造 的 。 也 就 是 说 ,系统 不 直接 将 此 凭证 给 
用 户 , 而 是 操作 系统 以 用 户 的 名 义 拥有 所 有 凭证 , 仅 在 用 户 通过 操作 系统 发 出 特定 请 求 时 才 
建立 权能 ,每 个 权能 也 标识 可 允许 的 存 取 。 例 如 ,用 户 可 以 创建 文件 ,数据 段 、 子 进程 等 新 实 
体 , 并 指定 它们 可 接受 的 操作 种 类 ( 读 、 写 或 执行 ), 也 可 以 定义 以 前 未 定义 的 存 取 类 型 (如 授 
权 、 传 递 等 ) 。 

具有 转移 或 传播 权限 的 主体 可 以 将 其 权能 的 副本 传送 给 其 他 实体 ,该 权能 同样 具有 一 
张 许可 存 取 类 型 的 表 。 例 如 ,进程 A 将 权能 副本 传递 给 B,B 也 可 将 权能 传递 给 C, 但 为 防 
止 权能 的 进一步 扩散 ,B 在 传递 权能 副本 给 C 时 可 移 去 其 中 的 转移 权限 ,于 是 ,C 将 不 能 继 
续 传 递 权 能 。 权 能 也 是 一 种 在 程序 运行 期 间 直 接 跟踪 主体 对 实体 的 存 取 权限 的 方法 。 一 个 
进程 具有 自己 运行 时 的 作用 域 , 即 存 取 的 实体 集 ,如 程序 文件 .数据 、1/O 设备 等 。 当 运行 
进程 调用 子 进程 时 , 它 可 以 将 存 取 的 某 些 实体 作为 参数 传递 给 子 进程 ,而 子 进 程 的 作用 域 不 
一 定 与 调用 它 的 进程 相同 。 即 调用 进程 仅 将 其 实体 的 一 部 分 或 部 分 存 取 权限 传递 给 子 进 
程 , 子 进程 也 拥有 自己 能 够 存 取 的 其 他 实体 。 由 于 每 个 权能 都 标识 了 作用 域 中 的 单个 实体 ， 
因此 ,权能 的 集合 就 定义 了 作用 域 。 当 进程 调用 子 进程 并 传递 特定 实体 或 权能 时 ,操作 系统 
形成 一 个 当前 进程 的 所 有 权能 组 成 的 堆栈 ,并 为 子 进 程 建立 新 的 权能 。 权 能 也 可 以 集成 在 
系统 的 一 张 综 合 表 ( 如 存 取 控制 表 ) 中 ,每 次 进程 请 求 都 由 操作 系统 检查 核实 该 实体 是 否 可 
存 取 ,若是 , 则 为 其 建立 权能 。 

权能 必须 存放 在 内 存 中 不 能 被 普通 用 户 存 取 的 地 方 ,如 系统 保留 区 、 专 用 区 或 者 被 保护 
区 域内 ,在 程序 运行 期 间 , 只 有 被 当前 进程 存 取 的 实体 的 权能 能 够 很 快 得 到 ,这 种 限制 提高 
了 对 存 取 实体 权能 检查 的 速度 。 由 于 权能 可 以 被 收回 .操作 系统 必须 保证 能 够 跟踪 应 当 删 
除 的 权能 ,彻底 予以 回收 ,并 删除 那些 不 再 活跃 的 用 户 的 权能 。 
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4. 面向 过 程 的 存 取 控 制 

存 取 控 制 既 控 制 对 某 个 实体 的 存 取 主 体 , 也 控制 对 该 实体 的 存 取 方式 。 大 多 数 操作 系 
统 对 读 、 写 控制 容易 实施 ,但 对 复杂 的 控制 较 难 达到 。 如 果 采 用 面向 过 程 (Procedure 
Oriented) 的 保护 , 即 存在 一 个 对 实体 进行 存 取 控制 的 过 程 , 它 将 在 实体 周围 形成 一 个 保护 
层 , 只 允许 特定 的 存 取 。 这 样 ,过 程 可 以 通过 可 信任 接口 请 求 存 取 实体 ,并 通过 过 程 自身 的 
检查 保证 调用 是 合法 的 。 面 向 过 程 的 保护 实现 了 信息 隐藏 ,对 实体 控制 的 实施 手段 仅 由 控 
制 过 程 所 知 ,但 当 实 体 频 繁 调 用 时 ,会 影响 系统 速度 。 

对 存 取 控 制 的 研究 正在 积极 进行 ,机 制 从 简单 到 复杂 ,保护 也 更 加 灵活 ,而 实际 操作 系 
统 中 对 存 取 控制 的 采用 ,仍然 是 在 保护 功能 和 系统 开销 之 间 进 行 平衡 。 


11.2.5 ”恶意 程序 防御 机 制 


恶意 程序 防御 机 制 是 一 类 新 的 、 在 原 操作 系统 设计 时 并 未 考虑 的 安全 机 制 。 恶 意 程 序 
是 所 有 含有 特殊 目的 ,非法 进入 计算 机 系统 并 待机 运行 .能 给 系统 或 者 网 络 带 来 严重 干扰 和 
破坏 的 程序 的 总 称 。 它 一 般 可 以 分 为 独立 运行 类 (细菌 和 蠕虫 ) 和 需要 宿主 类 (病毒 和 特 洛 
伊 木马 )。 细 菌 (Germ) 是 一 种 自身 连续 复制 的 恶意 程序 , 它 不 停 地 运行 ,抢占 CPU 时 间 和 
磁盘 空间 ,最 终 使 系统 瘫 痪 。 蠕 虫 (Worm) 是 一 种 可 利用 网 络 传播 的 恶意 程序 , 它 利 用 网 络 
资源 共享 的 特点 来 扩散 错误 ,独立 运行 并 自身 复制 ,抢占 信道 和 内 存 , 导 致 网 络 阻塞 。 特 洛 
伊 木 马 (Trojan Horse) 则 是 一 种 在 正常 程序 中 隐藏 特殊 指令 的 程序 , 它 平 时 不 影响 系统 完 
成 原 有 任务 ,但 能 使 计算 机 执行 一 些 非 授权 功能 ,或 者 在 特殊 条 件 ( 时 间或 逻辑 条 件 ) 满 足 时 
执行 恶意 操作 (也 称 逻 辑 炸 弹 )。 计 算 机 病毒 (Computer Virus) 是 人 为 编制 的 短小 程序 , 它 
附着 在 其 他 程序 或 者 代码 块 上 和 运行、 复制 和 传播 ,具有 潜伏 性 和 较 大 的 破坏 性 。 目 前 ,计算 
机 病毒 这 个 术语 常用 于 代表 各 类 恶意 程序 。 

计算 机 病毒 的 出 现 突破 了 计算 机 安全 早期 的 防御 策略 ,许多 早期 的 安全 模型 在 进行 深 
和 研究 后 发 现 有 问题 ,尤其 当 计算 机 病毒 和 某 些 恶意 程序 以 “合法 ”程序 的 机 制 交叉 融合 
后 ,产生 了 变异 性 .多 形 性 和 隐蔽 性 ,使 得 操作 系统 在 防御 恶意 程序 和 计算 机 病毒 方面 处 于 
一 个 十 分 严峻 的 形势 。 恶 意 程序 高 度 依赖 于 它们 所 运行 的 操作 系统 ,因此 防御 措施 也 因 系 
统 不 同 而 异 。 目 前 ,各 类 新 型 操作 系统 都 增加 了 对 计算 机 病毒 的 防御 措施 ,但 并 没有 统一 的 
标准 ,总 体 上 包含 三 个 部 分 , 即 计算 机 病毒 的 防御 、 检 测 和 消除 。 

1. 病毒 防御 机 制 

病毒 防御 机 制 是 针对 病毒 的 运行 特征 而 采取 的 层 层 设防 、 级 级 设防 措施 。 众 所 周知 , 病 
毒 的 运行 特征 和 过 程 是 : 人 侵 习 运行 一 驻 留 (潜伏 ) 习 感染 (传播 ) 一 激活 一 破坏 。 可 见 , 在 
上 述 链 中 的 任何 一 处 采取 措施 , 均 可 进行 防御 。 病 毒 防御 机 制 的 实施 通常 与 系统 的 存 取 控 
制 、 实 体 保 护 等 安全 机 制 配合 ,由 专门 的 防御 程序 模块 完成 。 防 御 的 重点 在 操作 系统 敏感 数 
据 结构 文件 系统 、 数 据 存储 结构 .I/O 设备 驱动 结构 上 。 

操作 系统 的 敏感 数据 结构 包括 系统 进程 表 、 关 键 缓冲 区 共享 数据 段 . 系 统 记 录 、 中 断 矢 
量 表 和 指针 表 等 关键 数据 结构 ,病毒 会 试图 算 改 其 中 的 数据 ,甚至 删除 某 些 记录 ,使 系统 运 
行 出 错 。 文件 是 病毒 攻击 的 重点 ,尤其 是 可 执行 文件 , 它 也 是 病毒 附着 和 潜伏 的 宿主 之 一 。 
病毒 侵入 文件 ,将 病毒 体 附着 于 文件 上 修改 文件 长 度 、 算 改 文件 指针 , 当 文 件 执行 时 激发 病 
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毒 体 继续 传染 或 破坏 。 数 据 存储 结构 也 是 攻击 对 象 ,病毒 改动 磁盘 结构 修改 数据 记录 、 破 
坏 文件 系统 在 磁盘 上 的 存 取 结 构 。 此 外 ,病毒 也 自 改 设备 驱动 程序 ,修改 指针 ,破坏 设备 操 
作 。 针 对 上 述 攻击 ,病毒 防御 机 制 采用 了 存储 映像 .数据 备份 .修改 许可 、 区 域 保护 .动态 检 
疫 等 方式 。 

存储 映像 是 保存 操作 系统 关键 数据 结构 在 内 存 中 的 映像 ,以 防 病毒 破坏 或 便于 系统 恢 
复 。 例 如 ,将 系统 中 断 矢量 表 、 设 备 链表 ,系统 配置 参数 表 等 做 一 映像 ,形成 一 个 副本 ,在 系 
统 运行 过 程 中 比较 或 恢复 这 些 关键 数据 。 数 据 备份 类 似 于 映像 ,但 主要 针对 文件 和 存储 结 
构 ,将 系统 文件 .操作 系统 内 核 .磁盘 主 结构 表 、 文 件 主 目录 及 分 配 表 等 建立 副本 ,保存 在 磁 
盘 上 以 作 后 备 。 修 改 许可 是 一 种 认证 机 制 , 在 用 户 操作 环境 下 ,每 当 出 现 对 文件 或 关键 结构 
的 写 操作 时 ,提示 用 户 要 求 确认 。 这 也 是 防止 病毒 感染 传播 的 一 种 基本 手段 。 区 域 保护 借 
助 禁止 许可 机 制 , 对 关键 数据 区 .系统 参数 区 .系统 内 核 禁止 写 操作 。 基 于 一 般 用 户 不 具有 
对 这 些 区 域 的 写 权限 考虑 , 它 很 容易 地 对 某 些 实体 (如 磁盘 文件 ) 设 置 标记 ,并 不 让 用 户 知 
道 , 用 户 被 限制 在 他 们 允许 的 区 域内 操作 。 动 态 检疫 将 主动 性 引入 了 防御 机 制 , 在 系统 运行 
的 每 时 每 刻 , 它 都 监视 某 些 敏感 的 操作 或 者 操作 企图 ,一 旦 发 现 则 给 出 提示 并 予以 记录 , 它 
可 以 与 病毒 检测 软件 配合 ,发 现 病毒 的 随机 攻击 。 上 述 的 机 制 都 是 嵌入 操作 系统 模块 中 或 
者 以 系统 驻 留 程序 实现 ,对 操作 系统 设计 来 说 起 到 一 种 打 “ 补 丁 ”的 效果 ,并 不 是 非常 严格 。 
更 深入 的 病毒 防御 机 制 将 在 操作 系统 设计 初期 子 以 考虑 。 

2. 病毒 检测 与 消除 

目前 的 操作 系统 本 身 并 不 提供 病毒 检测 和 消除 功能 ,而 把 它 留 给 与 操作 系统 配套 的 软 
件 去 实现 。 这 是 因为 理论 上 已 经 证 明 : 不 存在 通用 的 检测 计算 机 病毒 的 方法 和 程序 ,而 且 
大 多 数 计算 机 病毒 不 能 被 精确 检测 。 同 时 ,计算 机 病毒 的 检测 与 消除 与 所 运行 的 操作 系统 
有 密切 的 关系 ,由 于 操作 系统 的 复杂 性 ,病毒 被 发 现 和 消除 后 的 系统 恢复 是 一 项 非常 困难 的 
工作 ,对 感染 病毒 或 者 病毒 清除 后 的 系统 的 可 信 度 的 验证 .也 是 正 待 解决 的 问题 。 以 独立 软 
件 套件 出 现 的 病毒 检测 消除 软件 ,在 一 个 方面 保证 了 系统 的 安全 性 。 

病毒 检测 分 为 系统 静态 检测 和 动态 检测 。 静 态 检测 指 的 是 系统 处 于 待机 状态 或 连 网 状 
态 , 利 用 病毒 检测 软件 检查 和 扫描 系统 主 存 空间 和 外 存 (磁盘 ) 空 间 ,查找 可 能 驻 留 在 内 存 或 
者 隐藏 在 磁盘 区 域 .磁盘 文件 中 的 病毒 程序 、 带 毒 文件 等 。 这 种 检查 多 基于 病毒 特征 码 扫描 
方式 ,也 针对 系统 文件 .数据 结构 .指针 指向 等 关键 数据 是 否 被 改动 等 因素 检测 病毒 。 动 态 
检测 是 在 系统 运行 过 程 中 ,利用 防御 机 制 和 病毒 检测 软件 , 当 病 毒 试图 攻击 系统 、 感 染 系统 
文件 .修改 系统 数据 时 给 出 报警 。 病 毒 检测 中 的 重要 问题 是 动态 检测 ,关键 是 如 何 区 别 正常 
的 .合法 的 操作 和 病毒 的 非法 的 .不 正常 的 操作 ,需要 解决 漏 报 . 误 报 和 错 报 的 问题 。 

检测 的 正确 才 是 清除 的 基础 ,否则 ,病毒 的 清除 会 产生 一 系列 的 副作用 。 轻 者 使 被 清除 
病毒 的 文件 破坏 .程序 失效 , 重 者 使 系统 关键 数据 丢失 ,或 者 未 完整 恢复 ,造成 系统 崩溃 。 此 
外 ,由 于 操作 系统 的 版 本 间 的 兼容 性 、 机 器 的 兼容 性 .软件 版 本 的 兼容 性 ,在 病毒 清除 后 的 系 
统 恢复 问题 上 过 到 了 很 大 的 困难 。 

鉴于 病毒 防御 的 细节 问题 已 超出 本 章 内 容 , 这 里 不 再 袭 述 。 
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11.3 安全 操作 系统 设计 


1972 年 ,作为 承担 美国 空军 的 一 项 计算 机 安全 规划 研究 任务 的 研究 成 果 ,J. P. Anderson 
在 一 份 研究 报告 中 提出 了 引用 监控 机 (reference monitor)、 引 用 验证 机 制 (reference 
validation mechanism) ,安全 核 (security kernel) 和 安全 建 模 (modeling) 等 重要 思想 。 这 些 
思想 是 在 研究 系统 资源 受 控 共享 (controlled sharing) 问 题 的 背景 下 产生 的 。 

把 授权 机 制 与 能 够 对 程序 的 运行 加 以 控制 的 系统 环境 结合 在 一 起 ,可 以 对 受 控 共享 提 
供 支持 ,授权 机 制 负责 确定 用 户 ( 程 序 ) 对 系统 资源 (数据 程序、 设备 等 ) 的 引用 许可 权 , 程 序 
运行 控制 负责 把 用 户 程序 对 资源 的 引用 控制 在 授权 的 范围 之 内 。 这 一 思想 可 以 形象 地 表示 
为 图 11-2 所 示 的 形式 。 


[一 一 > | 对 引用 进行 授 
权 的 信息 


图 11-2 系统 资源 的 受 控 共 享 


引用 监控 机 思想 是 为 了 解决 用 户 程序 的 运行 控制 问题 ,其 目的 是 在 用 户 ( 程 序 ) 与 系统 
资源 之 间 实 施 一 种 授权 的 访问 关系 。J. P. Anderson 把 引用 监控 机 的 职能 定义 为 : 以 主体 
(用户 等 ) 所 获得 的 引用 权限 为 基准 ,验证 运行 中 的 程序 (对 程序 .数据 .设备 等 ) 的 所 有 引用 。 
对 应 到 图 11-2, 引 用 监控 机 是 在 “程序 运行 控制 ”的 位 置 上 发 挥 作用 的 。 

引用 监控 机 是 一 个 抽象 的 概念 , 它 表现 的 是 一 种 思想 。J. P. Anderson 把 引用 监控 机 的 
具体 实现 称 为 引用 验证 机 制 , 它 是 实现 引用 监控 机 思想 的 硬件 和 软件 的 组 合 。 引 用 验证 机 
制 需要 同时 满足 以 下 三 个 原则 : 

(1) 必须 具有 自我 保护 能 力 。 

(2) 必须 总 是 处 于 活跃 状态 。 

(3) 必须 设计 得 足够 小 ,以 利于 分 析 和 测试 ,从 而 能 够 证 明 它 的 实现 是 正确 的 。 

第 一 个 原则 保证 引用 验证 机 制 即 使 受到 攻击 也 能 保持 自身 的 完整 性 。 第 二 个 原则 保证 
程序 对 资源 的 所 有 引用 都 得 到 引用 验证 机 制 的 仲裁 。 第 三 个 原则 保证 引用 验证 机 制 的 实现 
是 正确 的 和 符合 要 求 的 。 

在 受 控 共享 和 引用 监控 机 思想 的 基础 上 ,J. P. Anderson 定义 了 安全 核 的 概念 。 安 全 核 
是 系统 中 与 安全 性 的 实现 有 关 的 部 分 ,包括 引用 验证 机 制 , 访 问 控制 机 制 , 授 权 (authorization) 
机 制 和 授权 的 管理 机 制 等 成 分 。 

J.P. Anderson 指出 ,要 开发 安全 系统 ,首先 必须 建立 系统 的 安全 模型 。 安 全 模型 给 出 
安全 系统 的 形式 化 定义 ,正确 地 综合 系统 的 各 类 因素 。 这 些 因素 包括 系统 的 使 用 方式 、 使 用 
环境 类 型 .授权 的 定义 .共享 的 客体 (系统 资源 ) .共享 的 类 型 和 受 控 共 享 思想 等 。 这 些 因素 
应 构成 安全 系统 的 形式 化 抽象 描述 ,使 得 系统 可 以 被 证 明 是 完整 的 ` 反 映 真实 环境 的 、 罗 辑 
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上 能 够 实现 程序 的 受 控 执行 的 。 完 成 安全 系统 的 建 模 之 后 ,再 进行 安全 核 的 设计 与 实现 。 
11.3.1 安全 操作 系统 模型 


安全 模型 (Security Model) 用 来 描述 计算 系统 和 用 户 的 安全 特性 ,是 对 现实 社会 中 一 
种 系统 安全 需求 的 抽象 描述 。 其 过 程 是 ,首先 用 自然 语言 描述 应 用 环境 的 安全 需求 特性 ,再 
用 数学 工具 进行 形式 化 描述 。 由 于 存 取 是 计算 系统 安全 需求 的 核心 , 存 取 控 制 则 是 这 些 模 
型 的 基础 。 也 就 是 说 , 存 取 控制 策略 决定 了 某 个 用 户 是 否 被 允许 存 取 某 个 特定 实体 ,而 模型 
则 是 实现 策略 的 机 制 。 研 究 安 全 模型 的 动机 一 方面 是 确定 一 个 保密 系统 应 采取 的 策略 , 达 
到 保密 性 和 完整 性 应 采取 的 特定 条 件 。 另 一 方面 通过 对 抽象 模型 的 研究 ,了 解 保护 系统 的 
特性 ,如 可 判定 性 或 不 可 判定 性 。 它 是 安全 操作 系统 设计 者 应 当 了 解 的 过 程 , 下 面 介绍 四 类 
模型 。 

1, 单 层 模型 

单 层 模型 是 最 简单 的 二 元 敏感 安全 模型 ,是 体现 有 限 型 访问 控制 的 模型 。 在 单 层 模型 
中 ,用 户 对 实体 的 存 取 策略 简单 地 设置 为 “允许 ”或 者 "禁止 "(“ 是 ”与 “ 非 ”)。 实 现 这 种 存 取 
控制 的 最 简单 模型 是 监督 程序 , 它 是 用 户 和 实体 间 的 通道 ,监督 程序 对 每 个 被 监督 的 存 取 进 
行 检查 ,决定 是 否 准许 存 取 。 由 于 监督 程序 进程 被 频繁 地 调用 , 它 将 成 为 系统 的 一 个 瓶颈 。 
而 且 , 它 仅 对 直接 的 存 取 进行 控制 ,无 法 控制 间接 存 取 。 例 如 ,考虑 如 下 程序 行 ; 

if PO then delete fileF 

else write fileF 

可 见 ,程序 借助 文件 F 的 存在 性 传送 有 关 P 的 信息 ,然而 ,用 户 可 以 不 存 取 P, 而 通过 存 取 下 
达到 获取 了 值 的 目的 。 

为 弥补 监督 程序 方式 的 不 足 , 提 出 了 信息 流 模型 , 即 信息 的 流向 控制 。 该 模型 的 作用 类 
似 于 一 个 筛选 程序 , 它 控制 允许 存 取 的 实体 的 信息 发 送 。 在 一 些 情况 下 ,信息 流向 比较 清 
楚 , 如 : a :二 b; a :二 b 十 c; a :二 a 十 b; 这 里 ,信息 流 是 从 b 到 a 的 。 而 对 于 


if b=0 thena: =0 elsea:=1 


则 信息 流向 是 较 难 确定 的 。 用 户 不 用 直接 存 取 b 就 可 知道 b 是 否 为 0, 因 为 b 的 有 关 信息 
可 以 由 a 推出 。 

信息 流 模型 可 以 用 来 描述 潜在 的 存 取 ,信息 流 分 析 能 够 保证 操作 系统 模型 在 对 敏感 数 
据 进 行 存 取 时 不 会 将 数据 泄漏 给 所 调用 的 模块 。 因 此 ,识别 信息 流 是 开发 可 信 操 作 系 统 的 
重要 步骤 。 

单 层 模 型 有 一 定 的 局 限 性 ,在 现代 安全 操作 系统 设计 中 ,提出 了 多 级 安全 模型 的 概念 ， 
信息 流 模 型 在 其 中 得 到 了 更 深入 的 应 用 。 如 著名 的 Bell-La Padula 模型 和 Biba 模型 ,前 者 
主要 用 于 实现 保密 ,后 者 主要 用 于 保证 信息 的 完整 性 。 这 些 模 型 的 细节 ,可 参阅 有 关 文 献 ， 
在 下 面 的 章节 中 我 们 只 做 简单 的 介绍 。 

2. 多 层 “ 格 ”模型 

多 层 “ 格 "模型 (Lattice Model) 突 破 了 单 层 模型 的 二 元 敏感 性 ,为 实体 和 用 户 考虑 了 更 
大 范围 的 敏感 层次 ,适应 于 那些 在 不 同 敏感 层次 上 并 行 处 理 信 息 的 系统 。 多 层 “ 格 ”模型 的 
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思想 源 于 军队 的 安全 需求 和 对 保密 信息 级 别 的 处 理 方式 ,目前 已 被 广泛 地 采用 为 操作 系统 
中 的 数据 安全 模型 。 

多 层 “ 格 ?模型 把 用 户 ( 主 体 ) 和 信息 (客体 ) 按 密级 和 类 别 划分 ,以 数学 结构 “ 格 组 织 用 
户 和 信息 。 信 息 密级 从 低 到 高 分 为 公开 级 、 秘 密级 、 机 密级 和 绝密 级 。 这 些 级 别 描述 了 信息 
的 敏感 性 ,绝密 信息 最 敏感 ,机 密 其 次 ,秘密 再 次 ,公开 级 信息 不 敏感 。 类 别 是 根据 工作 范围 
或 工作 项 目 划 分 的 范围 ,描述 了 信息 的 主体 对 象 ,类 别 之 间 可 互 不 相关 ,也 可 交错 .重奏 或 包 
含 。 单 块 的 信息 按照 其 相关 的 密级 被 编 人 一 个 类 别 , 信 息 与 类 别 相互 间 关 联 。 人 敏感 信息 的 
安全 原则 是 最 少 权限 原则 ,主体 只 存 取 完成 其 工作 所 需 的 最 少 客体 。 信 息 的 存 取 由 “ 需 知 
(need to know) ”准则 限制 , 仅 允许 需要 用 此 数据 来 完成 其 工作 的 主体 存 取 某 一 敏感 数据 。 
每 一 密级 的 信息 都 与 一 个 或 者 多 个 类 别 有 关 ,用 于 实施 “ 需 知 ” 约 东 。 因 而 ,一 个 主体 可 以 存 
取 位 于 不 同类 别 中 的 某 个 密级 的 信息 。 

对 敏感 信息 的 存 取 必须 获得 批准 ,通常 采用 存 取 权限 中 的 许可 证 机 制 。 它 表示 某 个 用 
户 可 以 存 取 特定 敏感 级 别 (密级 ) 以 上 的 信息 ,以 及 该 信息 所 属 的 特定 类 别 。 在 操作 系统 中 
将 许可 证 按照 二 密级 ; 类 别 二 的 组 合 方式 设 定 。 车 引入 符号 O 代表 实体 ,S 代表 主体 , 乏 代 
表 人 敏感 实体 与 主体 的 关系 ,我 们 有 : 

O 三 S 当 且 仅 当 ”密级 O 三 密级 S 并 且 类别 O 达 类别 S 
这 里 ,关系 硅 限 制 了 敏感 性 及 主体 能 够 存 取 的 信息 内 容 , 只 有 当主 体 的 许可 证 级 别 至 少 与 该 
信息 的 级 别 一 样 高 , 且 主 体 必须 知道 信息 分 类 的 所 有 类 别 时 才能 够 存 取 。 例 如 ,分 类 信息 
去 机 密 ; 核武 器 二 可 以 被 具有 二 绝密 ; 核武 器 之 和 去 机 密 ; 核武 器 ; 密码 学 二 许可 的 用 户 
存 取 ,但 不 能 被 具有 二 绝密 ; 密码 学 二 或 二 秘密 ; 核武 器 二 许可 的 用 户 存 取 。 

“ 格 ” 是 一 个 其 元 素 在 关系 运算 符 操 作 下 的 数学 结构 ,其 中 元 素 按 半 定 序 三 次 序 排列 , 具 
有 传递 性 和 非 对 称 性 , 即 对 任意 三 个 元 素 a, 5, c 有 

(1) 传递 性 : 若 a<6b 且 6<c 则 a 二 c 

(2) 非 对 称 性 : 若 a<b 且 4a 则 a=6b 

“ 格 ” 表 达 了 自然 的 安全 级 别 递 增 。 多 层 “ 格 ”模型 同时 强调 了 敏感 性 和 需 知 性 需求 ,前 
者 是 层次 需求 ,后 者 是 非 层次 的 约束 需求 。 因 此 ,安全 专家 将 它 作 为 安全 系统 的 基础 ,及 多 
种 不 同 的 计算 环境 的 安全 模型 。 

3， Bell-La Padula 模型 

Bell-La Padula 模型 是 一 种 保证 保密 性 基于 信息 流 控制 的 多 层 模 型 , 它 的 访问 控制 遵循 
两 条 原则 , 即 “ 简 单 安全 性 原则 ”和 “安全 性 星 原则 ”。 假 定安 全 系统 具有 主体 集 S 和 客体 集 
O,S 和 0O 中 的 每 一 个 主体 s 和 客体 o 的 密级 和 分 类 等 级 分 别 为 C(s) 和 CCo), 则 有 如 下 
原则 。 

简单 安全 性 原则 : 仅 当 C(o) 三 C(s), 主体 * 才 可 以 对 客体 。 有“* 读 ?访问 权 。 也 就 是 说 
主体 只 能 读 密级 等 于 或 低 于 它 的 客体 ,主体 只 能 从 下 读 .而 不 能 从 上 读 。 

安全 性 星 原则 : 仅 当 C(o) 三 C(p), 对 客体 o。 有 读 访问 权 的 主体 : 才 可 以 对 客体 p 有 
“ 写 ? 访 问 权 。 也 就 是 说 主体 只 能 写 密 级 等 于 或 高 于 它 的 客体 ,主体 只 能 向 上 写 ,而 不 能 向 下 
写 。 对 星 原则 的 一 个 解释 是 : 得 到 某 个 等 级 信息 的 人 只 能 将 这 条 信息 传递 给 那些 等 级 不 低 
于 这 条 信息 等 级 的 人 。 

图 11-3 演示 了 Bell-La Padula 模型 安全 信息 流 两 个 特性 。 
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Bell-La Padula 模型 控制 主体 向 上 读 和 向 下 写 , 其 目的 是 防止 信息 泄露 ,但 不 能 防止 主 
体 对 客体 的 非 授权 自 改 , 即 该 模型 只 处 理 了 信息 的 保密 问题 ,而 没 解决 信息 的 完整 性 问题 。 
4. Biba 模型 


Biba 模型 是 Bell-La Padula 的 对 偶 问 题 ,是 可 以 保证 信息 流 完整 性 的 控制 模型 。Biba 
模型 定义 了 主体 和 客体 的 完整 级 别 , 完 整 级 别 是 一 个 由 低 到 高 的 序列 ,模型 的 访问 控制 级 别 
遵循 “简单 完整 性 原则 ”和 “完整 性 星 原则 ”。 假 定安 全 系统 具有 主体 集 S 和 客体 集 O,S 和 
O 中 的 每 一 个 主体 * 和 客体 o 的 完整 等 级 分 别 为 1(s) 和 ICo0), 则 有 如 下 原则 。 

简单 完整 性 原则 : 仅 当 ICs) 三 ICo), 主体 :能够 有 权 写 客体 。。 也 就 是 主体 只 能 写 完 整 
性 等 于 或 低 于 它 的 客体 。 

完整 性 星 原则 : 仅 当 1(0) 三 1(p), 对 具有 完整 级 别 1(p) 的 客体 p 有 “ 写 " 权 的 主体 有 
权 “ 读 ”客体 。。 也 就 是 主体 只 能 读 完整 性 级 别 等 于 或 高 于 它 的 客体 。 

Biba 模型 保证 了 高 完整 性 文件 不 会 被 低 完整 性 文件 或 低 完整 性 主体 中 的 信息 所 损害 ， 
解决 了 完整 性 问题 , 却 忽 略 了 保密 性 。 当 前 的 趋势 是 将 完整 性 和 保密 性 结合 起 来 应 用 到 安 
全 系统 中 ,尽管 现在 还 没有 找到 一 个 广泛 接受 的 形式 化 模型 兼顾 这 两 方面 。 


11.3.2 保护 机 制 结构 与 设计 原则 


1975 年 ,J. H. Saltzer 和 M. D. Schroeder 以 保护 机 制 的 体系 结构 为 中 心 ,探讨 了 计算 
机 系统 的 信息 保护 问题 ,重点 考察 了 权能 (capability) 实 现 结构 和 访问 控制 表 (access control 
list) 实 现 结构 ,给 出 了 信息 保护 机 制 的 八条 设计 原则 。 

为 讨论 信息 保护 问题 ,从 概念 上 ,可 以 为 每 一 个 需 保护 的 客体 建立 一 个 不 可 攻破 的 保护 
墙 ,保护 墙 上 留 有 一 个 门 , 门 前 有 一 个 卫兵 ,所 有 对 客体 的 访问 都 首先 在 门 前 接受 卫兵 的 检 
查 。 在 整个 系统 中 ,有 很 多 客体 ,因而 有 很 多 保护 墙 和 卫兵 。 对 客体 的 访问 控制 机 制 的 实现 
结构 可 分 为 两 种 类 型 : 面向 门票 (ticket-oriented) 的 实现 和 面向 名 单 (list-oriented) 的 实现 。 
在 面向 门票 的 实现 中 ,卫兵 手中 持 有 一 份 对 一 个 客体 的 描述 ,在 访问 活动 中 ,主体 携带 一 张 
门票 ,门票 上 有 一 个 客体 的 标识 和 可 访问 的 方式 ,卫兵 把 主体 所 持 门票 中 的 客体 标识 与 自己 
手中 的 客体 标识 进行 对 比 , 以 确定 是 否 允许 访问 ; 在 整个 系统 中 ,一 个 主体 可 能 持 有 多 张 门 
票 。 在 面向 名 单 的 实现 中 ,卫兵 手中 持 有 一 份 所 有 授权 主体 的 名 单 及 相应 的 访问 方式 ,在 访 
问 活动 中 ,主体 出 示 自 己 的 身份 标识 .卫兵 从 名 单 中 进行 查找 ,检查 主体 是 否 记录 在 名 单 上 ， 
以 确定 是 否 人 允许 访问 。 权 能 结构 属于 面向 门票 的 结构 ,一 张 门 票 也 称 为 一 个 权能 。 访 问 控 
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制 表 (ACL) 结 构 属 于 面向 名 单 的 结构 。 在 访问 控制 矩阵 的 概念 模式 下 ,权能 结构 对 应 访问 
控制 矩阵 的 行 结 构 , 行 中 的 每 个 矩阵 元 素 对 应 一 个 权能 ; ACL 结构 对 应 访问 控制 矩阵 中 的 
列 结 构 , 每 一 列 对 应 一 个 ACL。 

Saltzer 和 Schroeder 给 出 的 信息 保护 机 制 的 设计 原则 如 下 。 

(1) 机 制 经 济 性 (economy) 原 则 : 保护 机 制 应 设计 得 尽 可 能 的 简单 和 短小 。 有 些 设计 
和 实现 错误 可 能 产生 意 想不到 的 访问 途径 ,而 这 些 错误 在 常规 使 用 中 是 察觉 不 出 的 ,难免 需 
要 进行 诸如 软件 逐 行 排查 工作 ,简单 而 短小 的 设计 是 这 类 工作 成 功 的 关键 。 

(2) 失败 -保险 (fail-safe) 默 认 原 则 : 访问 判定 应 建立 在 显 式 授权 而 不 是 隐 式 授权 的 基 
础 上 , 显 式 授权 指定 的 是 主体 该 有 的 权限 , 隐 式 授权 指定 的 是 主体 不 该 有 的 权限 。 在 默认 情 
况 下 ,没有 明确 授权 的 访问 方式 ,应 该 视 作 不 允许 的 访问 方式 ,如 果 主 体 欲 以 该 方式 进行 访 
问 ,结果 将 是 失败 ,这 对 于 系统 来 说 是 保险 的 。 

(3) 完全 仲裁 原则 : 对 每 一 个 客体 的 每 一 次 访问 都 必须 经 过 检查 ,以 确认 是 否 已 经 得 
到 授权 。 

(4) 开放 式 设计 原则 : 不 应 该 把 保护 机 制 的 抗 攻 击 能 力 建立 在 设计 的 保密 性 的 基础 之 
上 。 应 该 在 设计 公开 的 环境 中 设法 增强 保护 机 制 的 防御 能 力 。 

(5) 特权 分 离 原 则 : 为 一 项 特权 划分 出 多 个 决定 因素 , 仅 当 所 有 决定 因素 均 具 备 时 , 才 
能 行使 该 项 特权 。 正 如 一 个 保险 箱 设 有 两 把 钥匙 ,由 两 个 人 掌管 , 仅 当 两 个 人 都 提供 钥匙 
时 ,保险 箱 才能 打开 。 

(6) 最 小 特权 原则 : 分 配给 系统 中 的 每 一 个 程序 和 每 一 个 用 户 的 特权 应 该 是 它们 完成 
工作 所 必须 享有 的 特权 的 最 小 集合 。 

(7) 最 少 公 共 机 制 原则 : 把 由 两 个 以 上 用 户 共用 和 被 所 有 用 户 依 赖 的 机 制 的 数量 减少 
到 最 小 。 每 一 个 共享 机 制 都 是 一 条 潜在 的 用 户 间 的 信息 通路 ,要 谨慎 设计 ,避免 无 意 中 破 坏 
安全 性 。 应 证 明 为 所 有 用 户 服务 的 机 制 能 满足 每 一 个 用 户 的 要 求 。 

(8) 心理 可 接受 性 原则 : 为 使 用 户 习以为常 地 、 自 动 地 正确 运用 保护 机 制 ,把 用 户 界面 
设计 得 易于 使 用 是 根本 。 


11.3.3 操作 系统 保护 理论 


1976 年 ,M. A. Harrison`W. L. Ruzzo 和 J.D，Ullman 提出 了 操作 系统 保护 (protection) 
的 第 一 个 基本 理论 HRU 理论 。HRU 理论 形式 化 地 给 出 保护 系统 模型 的 定义 ,并 通过 三 个 
定理 给 出 有 关 保 护 系统 的 一 些 结 果 。Harrison 等 还 用 该 模型 对 UNIX 系统 的 保护 系统 进 
行 了 刻画 。 

定义 HRU1 一 个 保护 系统 由 以 下 两 个 部 分 构成 : 

(1) 一 个 以 普通 权限 (generic right) 为 元 素 的 有 限 集合 R。 

(2) 一 个 以 命令 为 元 素 的 有 限 集合 C, 命 令 的 格式 为 

command a (Xi, Xo, -…, X) 


证 m in (Xa, Xo ) and 
rz in (Xo, Xo) and 


ra in (Xe, Xen) 
then 
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OPi, Opz, **, Opn 
end 


或 者 ,如 果 m 为 0, 命令 格式 为 


command a (Xi, Xs, -…, X) 
OPi, Opz, “*, opn 
end 


其 中 ,a 是 命令 名 ,Xi ,… ,Xi 是 形式 参数 ,每 个 op; 是 以 下 原 语 操作 之 一 : 


enter r into (Xs, X,) 

delete r from (X,, X,) 

create subject X, 

create object xX。 

destory subject X, 

destory object X,。 
r，rl，…，rn 是 普通 权限 ,s，si, …， ss 和 o, ol, …,o。 是 1 至 k 间 的 整数 。 

定义 HRU2 一 个 保护 系统 的 一 个 配置 (configuration) 是 一 个 三 元 组 (S, O,P), 其 中 ， 
S 是 当前 主体 的 集合 ,O 是 当前 客体 的 集合 ,SSO,P 是 访问 矩阵 ,PLs, oj 是 R 的 子 集 ,是 
主体 s 对 客体 o 的 权限 的 集合 。 

定义 HRU3 设 (S, O, P) 和 (S', O', P') 是 一 个 保护 系统 的 两 个 配置 ,op 是 原 语 操 
作 , 以 下 式 子 表示 (S, O, P) 在 操作 op 下 转换 成 (S', O', P'): 

(I 

定义 HRU4 设 Q=(S, O, P) 是 一 个 保护 系统 的 一 个 配置 ,保护 系统 包含 以 下 命令 : 

command a (Xi, Xs, “, X) 

证 rm in (Xu, Xo1) and 


ra in (Xm, Xon) 

then op ，opz ，… ，opn 

end 

定义 配置 Q 如 下 : 

(1) 如 果 命 令 a 的 条 件 得 不 到 满足 , 则 定义 Q 为 Qi 

(2) 如 果 命 令 a 的 条 件 得 到 满足 , 则 设 存在 配置 Q。， Qi ,…，Q ,使 得 

Q=Q on QI 一。 om Qs 

其 中 ,op; * 表示 用 实际 参数 x ，xs，…，x: 分 别 代替 形式 参数 Xi ,Xs ,…， Xi 后 得 到 的 原 
语 操 作 op; 的 对 应 表示 。 定 义 Q 为 Q,。 


11.3.4 安全 操作 系统 的 设计 方法 


众所周知 ,操作 系统 的 设计 是 异常 复杂 的 , 它 要 处 理 多 任务 、 多 中 断 事件 ,进行 低层 文本 
切换 操作 ,又 必须 尽 可 能 地 减少 系统 开销 ,提高 用 户 计算 和 响应 速度 。 如 果 在 操作 系统 中 再 
考虑 安全 因素 , 则 更 增加 了 设计 难度 。 本 节 我 们 首先 了 解 通用 操作 系统 的 设计 方法 ,然后 讨 
论 用 户 资源 共享 及 用 户 域 分 离 问题 ,探讨 在 操作 系统 内 核 中 提供 安全 性 的 有 效 途径 。 

通用 操作 系统 除了 提供 前 述 的 内 存 保护 、 文 件 保护 、 存 取 控 制 和 用 户 身份 鉴别 等 基本 的 
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安全 功能 外 ,还 提供 诸如 共享 约束 、 公 平 服务 .通信 与 同步 等 安全 功能 。 共 享 约束 表明 系统 
资源 必须 对 相应 的 用 户 开放 ,具有 完整 性 和 一 致 性 要 求 。 公 平 服务 通过 硬件 时 钟 和 调度 分 
配 保证 所 有 用 户 都 能 得 到 相应 服务 ,没有 用 户 永久 等 待 。 通 信 与 同步 则 当 进 程 通信 和 资源 
共享 时 提供 协调 ,推动 进程 并 发 运行 ,防止 系统 死 锁 。 从 存 取 控制 的 基点 出 发 ,常规 操作 系 
统 中 已 经 建立 了 基本 的 安全 机 制 。 

我 们 从 三 个 方面 讨论 安全 操作 系统 的 设计 方法 , 即 隔离 设计 : 基于 最 少 通用 机 制 的 方 
法 ; 内 核 化 设计 : 基于 最 少 权限 及 经 济 性 原则 的 方法 ; 分 层 结 构 设 计 : 基于 开放 式 设计 及 
完全 检查 原则 的 方法 。 

(1) 隔离 设计 : 操作 系统 的 进程 间 彼此 隔离 方法 有 物理 分 离 、 时 间 分 离 .密码 分 离 和 人 由 
辑 分 离 ,一 个 安全 系统 可 以 使 用 所 有 这 些 形式 的 分 离 。 常 见 的 有 虚拟 存储 空间 和 虚拟 机 的 
方式 。 虚 存 最 初 是 为 提供 编 址 和 内 存 管 理 的 灵活 性 而 设计 的 ,但 它 同 时 也 提供 了 一 种 安全 
机 制 。 多 道 程序 操作 系统 必须 将 用 户 之 间 进 行 隔 离 , 仅 允许 严格 控制 下 的 用 户 交互 作用 ,大 
多 数 操作 系统 采用 系统 副本 的 方式 为 多 个 用 户 提供 单个 环境 ,采用 虚拟 存储 空间 机 制 提供 
逻辑 分 离 。 每 个 用 户 的 逻辑 地 址 空间 通过 存储 映像 机 制 与 其 他 用 户 的 分 隔 开 , 用 户 程序 看 
似 运行 在 一 个 单 用 户 的 机 器 上 。IBM VMS 操作 系统 便 提 供 了 这 种 多 虚 存 空间 机 制 。 

如 果 将 虚 存 概念 扩充 ,系统 通过 给 用 户 提供 逻辑 设备 .逻辑 文件 等 多 种 逻辑 资源 ,就 形 
成 了 虚拟 机 的 隔离 方式 。 我 们 知道 ,系统 的 硬件 设备 传统 上 都 是 在 操作 系统 的 直接 控制 下 ， 
而 给 每 个 用 户 提供 虚拟 机 就 使 每 个 用 户 不 但 拥有 逻辑 内 存 , 而 且 还 拥有 逻辑 IO 设备 ,他 
辑 文件 等 其 他 逻辑 资源 。 虚 存 只 给 用 户 提供 了 一 个 与 实际 内 存 分 离 的 , 且 比 实际 内 存 要 大 
的 内 存 空间 ,而 虚拟 机 则 给 用 户 提供 了 一 个 完整 的 硬件 特性 概念 .一 个 本 质 上 完全 不 同 于 实 
际 机 器 的 机 器 概念 。 虚 拟 硬件 资源 也 同样 在 逻辑 上 从 其 他 用 户 处 分 离 出 来 。IBM 的 VMS 
操作 系统 则 采用 此 种 方式 。 可 见 ,两 种 方式 都 是 将 用 户 和 实际 的 计算 系统 分 离开 ,因而 减少 
了 系统 的 安全 漏洞 ,改善 了 用 户 间 及 用 户 与 系统 硬件 间 的 隔离 性 能 ,当然 ,也 增加 了 这 些 层 
次 上 的 系统 开销 。 

(2) 内 核 化 设计 : 内 核 (nucleus 或 core) 是 操作 系统 中 完成 最 低层 功能 的 部 分 ,在 通用 
操作 系统 中 ,内 核 操作 包含 了 进程 调度 、 同 步 、 通 信 、 消 息 传递 及 中 断 处 理 。 安 全 内 核 则 是 负 
责 实现 整个 操作 系统 安全 机 制 的 部 分 , 它 提供 硬件 ,操作 系统 及 计算 系统 其 他 部 分 间 的 安全 
接口 。 安 全 内 核 通常 包含 在 系统 内 核 中 ,而 又 与 系统 内 核 分 离 ,其 原因 如 下 。 

Oa 分 离 性 : 安全 机 制 与 操作 系统 其 余部 分 以 及 用 户 空间 分 离 ,防止 操作 系统 和 用 户 侵 
入 安全 机 制 。 

@ 均一 性 : 所 有 安全 功能 都 可 由 单一 的 代码 集 完 成 ,这 样 追 踪 由 于 这 些 功能 引起 的 任 
何 问题 的 原因 就 会 容易 些 。 

@ 可 修改 性 : 安全 机 制 易于 改变 ,易于 测试 。 

图 紧凑 性 : 安全 内 核 只 执行 安全 功能 , 则 相对 较 小 。 

@@ 验证 性 : 由 于 安全 内 核 相对 较 小 ,可 进行 严格 的 形式 化 证 明 其 正确 性 。 

@ 覆盖 性 : 每 次 对 被 保护 实体 的 存 取 都 经 过 安全 内 核 ,可 保证 每 次 存 取 的 检查 。 

此 外 ,由 于 安全 内 核 在 系统 内 核 中 增加 了 用 户 程序 和 操作 系统 资源 间 的 一 个 接口 层 , 它 
的 实现 会 在 某 种 程度 上 降低 系统 性 能 ,而 且 ,不 能 保证 内 核 包含 所 有 安全 功能 。 安 全 内 核 的 
设计 和 使 用 在 某 种 程度 上 依赖 于 设计 的 方法 ,一 种 方法 是 在 系统 内 核 中 加 入 安全 功能 , 另 一 
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种 方法 是 完整 地 设计 安全 内 核 。 

对 于 已 实现 的 操作 系统 ,其 最 初 可 能 并 未 考虑 安全 设计 ,设计 需要 将 安全 功能 加 入 到 原 
有 的 操作 系统 模块 中 。 由 于 安全 活动 可 以 在 系统 的 许多 不 同 的 场合 完成 ,与 各 种 存 取 有 关 ， 
组 成 操作 系统 的 各 个 模块 也 就 要 求 同 时 具有 安全 功能 和 其 他 功能 。 这 种 加 入 可 能 会 破坏 已 
有 的 系统 模块 化 特性 ,而 且 使 加 入 安全 功能 后 的 内 核 的 安全 验证 很 困难 。 折 中 的 方案 是 从 
已 有 的 操作 系统 中 分 离 出 安全 功能 ,建立 单独 的 安全 内 核 。 

较为 合理 的 方案 是 先 设计 安全 内 核 ,再 围绕 它 设计 操作 系统 。 目 前 ,大 多 数 安全 操作 系 
统 的 设计 是 如 此 进行 的 , 它 称 为 基于 安全 的 设计 。 此 时 ,安全 内 核 为 接口 层 , 仅 位 于 系统 硬 
件 的 顶端 , 它 管理 所 有 操作 系统 硬件 存 取 并 完成 所 有 保护 功能 。 安 全 内 核 依赖 于 支持 它 的 
硬件 ,并 允许 操作 系统 处 理 大 多 数 与 安全 无 关 的 功能 ,这 样 ,安全 内 核 可 以 很 小 、 很 有 效 , 从 
而 形成 硬件 .安全 内 核 .操作 系统 和 用 户 四 层 运 行 区 域 。 安 全 内 核 必须 维护 每 个 区 域 的 保密 
性 和 完整 性 ,并 管理 进程 激活 、 运 行 区 域 切换 、 内 存 保护 、1/O 操作 的 相互 作用 。 

(3) 分 层 结构 设计 : 分 层 结构 设计 方法 被 认为 是 一 种 较 好 的 操作 系统 设计 方法 ,每 层 
使 用 几 个 作为 服务 的 中 心 层 ,每 层 为 外 层 提供 特定 的 功能 服务 和 支持 ,安全 操作 系统 的 设计 
也 可 采用 这 种 方式 ,在 各 个 层次 中 考虑 系统 的 安全 机 制 。 最 敏感 的 操作 位 于 最 内 层 , 进 程 的 
可 信和 度 及 存 取 权限 由 其 临近 中 心 裁定 ,更 可 信和 的 进程 更 接近 中 心 。 有 的 保护 功能 ,如 用 户 身 
分 鉴别 等 是 在 安全 内 核 之 外 实现 的 ,这 些 可 信 模 块 必须 能 提供 很 高 的 可 信和 度 。 由 于 可 信和 度 
和 存 取 权限 是 分 层 的 基础 ,单个 安全 功能 可 在 不 同 层 的 模块 中 实现 ,每 层 上 的 模块 完成 具有 


特定 敏感 度 的 操作 。 

如 果 将 这 种 分 层 描述 成 围绕 系统 硬件 的 环 , 则 
形成 一 种 称 为 环 结构 的 运行 保护 模式 ,如 图 11-4 所 最 可 信 进 程 
示 。 每 个 数据 区 或 者 过 程 被 称 为 段 (segment) ,一 运行 区 域 
个 环 是 进程 运行 的 区 域 ,并 指定 一 个 进程 所 拥有 的 
权限 ,从 内 核 开始 以 数字 编号 , 内核 为 0, 向 外 逐次 (Gr) 6 
类 推 。 每 个 进程 在 特定 的 环 区 域内 运行 ,可 信 度 高 
的 进程 在 环 域 编号 较 小 的 区 域 上 运行 。 例 如 ,如 果 最 不 可 信 进 
环 编号 ji, 那么 ,运行 在 环 i 上 的 进程 就 包括 了 所 程 运 行 区 域 
有 环 ; 的 权限 , 环 编号 越 小 ,进程 能 存 取 的 资源 越 
多 ,操作 要 求 的 保护 也 越 少 。 两 个 环 编号 间 形 成 一 图 11-4 安全 操作 系统 的 环 结构 


个 存 取 域 (i, 站) ,假定 内 核 具 有 存 取 域 (0, 4) ,表示 

在 0 和 4 层 的 进程 可 以 在 其 上 自由 运行 ,假定 某 个 用 户 段 具有 存 取 域 (4, 6) ,表示 它 只 由 用 
户 进程 存 取 。 这 样 , 环 区 域 就 表示 了 一 种 可 信和 度 , 可 信和 度 高 的 段 具 有 起 始 号 较 小 的 存 取 域 ， 
可 信和 度 低 的 段 则 具有 起 始 号 较 大 的 存 取 域 ,可 信和 度 低 的 段 也 很 少 被 高 可 信 的 内 核 进程 调用 。 
MULTICS 操作 系统 就 采用 了 这 种 安全 结构 。 


11.3.5 安全 操作 系统 的 可 信和 度 验证 


在 完成 操作 系统 安全 机 制 的 设计 与 实现 后 ,必须 检查 或 者 验证 它 所 强制 或 者 提供 的 安 
全 性 义 度 , 即 评估 操作 系统 的 可 信 度 和 在 什么 样 的 可 信 级 别 上 评估 操作 系统 。 由 于 操作 系 
统 可 用 于 不 同 的 环境 ,因此 ,不 同 操作 系统 可 接受 的 安全 层次 是 不 同 的 。 验 证 (Certification) 是 


267 


268 


息 安 全 概论 


对 已 经 完成 的 测试 的 定量 评估 ,并 且 给 系统 的 正确 性 赋予 一 个 可 信 尺 度 。 验 证 操作 系统 安 
全 性 的 方法 通常 采用 形式 化 验证 、 非 形式 化 确认 和 系统 入 侵 分 析 三 种 ,这 些 方法 是 独立 使 用 
的 ,并 综合 起 来 评估 操作 系统 的 安全 性 。 此 外 ,国际 上 很 多 组 织 研究 并 制定 了 一 些 计算 机 系 
统 的 安全 评价 准则 可 作为 操作 系统 可 信 度 的 评价 标准 。 

1. 可 信和 度 验证 方法 

形式 化 验证 是 分 析 安 全 性 的 最 精确 的 方法 ,在 这 里 ,操作 系统 被 简化 为 一 个 被 证 明 的 
“定理 ”, 它 被 断言 是 正确 的 ,应 当 提供 所 要 求 的 安全 性 ,而 不 提供 任何 其 他 功能 。 但 这 种 正 
确 性 证 明 是 极其 复杂 的 ,其 实施 是 费时 的 ,对 某 些 大 型 系统 ,其 至 描述 和 验证 断言 都 是 很 困 
难 的 , 它 可 以 由 人 工 或 者 机 器 辅助 进行 证 明 。 

非 形式 化 确认 包括 了 一 些 虽 不 太 严格 ,但 使 人 们 相信 程序 正确 性 的 方法 。 例 如 ,其 一 ， 
进行 需求 检查 ,通过 对 操作 系统 的 源码 检查 和 对 运行 状态 的 检查 ,确认 系统 所 做 的 每 件 事 是 
和 否 都 在 功能 需求 表 中 ,但 它 不 能 保证 系统 不 做 它 不 应 做 的 事 。 其 二 ,进行 设计 及 代码 检查 ， 
检查 系统 设计 或 代码 以 发 现 错误 ,如 不 正确 的 假设 .不一致 的 动作 或 错误 的 逻辑 等 。 其 三 ， 
进行 模块 及 系统 测试 ,精心 地 组 织 和 选择 数据 检查 系统 的 正确 性 ,检查 每 条 运行 线路 、 条 件 
转移 通道 ,变量 替换 与 更 改 , 以 及 各 种 报表 输出 等 。 各 种 软件 工程 技术 都 可 运用 于 系统 的 
确认 。 

系统 入 侵 分 析 是 一 种 攻击 性 测试 ,测试 专家 了 解 操作 系统 和 计算 系统 的 典型 的 漏洞 , 试 
图 发 现 并 利用 系统 存在 的 缺陷 。 测 试 针 对 可 能 的 缺陷 , 尽 可 能 地 多 次 检查 ,以 决定 错误 的 存 
在 。 如 果 操 作 系 统 在 某 一 入 侵 测试 中 失效 ,说明 系 统 内 部 有 错 ,当然 ,不 失效 并 非 保 证 系统 
没有 任何 错误 。 

可 见 ,验证 提供 了 操作 系统 正确 性 方面 最 有 说 服 力 的 依据 ,不 同 的 测试 方法 可 以 证 明 一 
个 系统 在 一 定 程 度 上 是 可 信 的 ,但 可 信 程 度 并 非 100% 。 

2. 安全 操作 系统 评价 标准 

应 当 明 确 , 绝 对 安全 的 操作 系统 是 不 存在 的 。 在 对 操作 系统 进行 安全 评估 时 ,仍然 需要 
遵循 目前 世界 公认 的 安全 准则 。 例 如 ,美国 国防 部 的 《可 信 计 算 系 统 评估 准则 》(TCSEC 桔 
皮 书 )《 可 信和 网 络 系统 评估 准则 》( 红 皮 书 ) ,以 及 各 国 和 各 行业 针对 不 同 应 用 领域 的 专门 的 
安全 评测 标准 ,如 针对 商务 系统 的 MSFR、 针 对 综合 通信 网 的 SDNS 等 .针对 管理 系统 的 
SMFA ,针对 数据 库 的 TCSEC/TDI 等 。 由 于 信息 安全 产品 和 系统 的 安全 评价 事 关 国家 的 
安全 利益 ,因此 许多 国家 都 在 充分 借鉴 国际 标准 的 基础 上 ,积极 制定 本 国 的 计算 机 安全 评价 
标准 。 

1) 美国 可 信 计 算 机 安全 评估 标准 (TCSEC) 

TCSEC(Trusted Computer System Evaluation Criteria) 是 第 一 个 有 关 信 息 安全 评估 的 
标准 ,由 美国 国防 部 于 1983 年 公布 ,该 准则 最 初 只 是 军用 标准 ,后 来 扩展 至 民用 领域 。 

TCSEC 标准 是 在 基于 安全 核 技术 的 安全 操作 系统 研究 的 基础 上 制定 出 来 的 ,标准 中 
各 用 的 风量 沁 妆 二 Clinsted Computing Base,TCB) 就 是 安全 核 研究 结果 的 表现 。 

1979 年 ,G. H. Nibaldi 在 描述 一 个 基于 安全 核 的 计算 机 安全 系统 的 设计 方法 时 给 出 
了 TCB 的 定义 ,该 方法 要 求 把 计算 机 系统 中 所 有 与 安全 保护 有 关 的 功能 找 出 来 ,并 把 它们 
与 系统 中 的 其 他 功能 分 离开 ,然后 把 它们 独立 出 来 ,以 防止 遭 到 破坏 ,这 样 独立 出 来 得 到 的 
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结果 就 称 为 TCB。Nibaldi 在 同年 提交 的 计算 机 安全 评价 建议 标准 中 运用 了 TCB 的 
想 
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TCB 在 TCSEC 中 的 定义 是 : 一 个 计算 机 系统 中 的 保护 机 制 的 全 体 ,它们 共同 负责 实 
施 一 个 安全 政策 ,它们 包括 硬件 .固件 和 软件 ; 一 个 TCB 由 在 一 个 产品 或 系统 上 共同 实施 
一 个 统一 的 安全 政策 的 一 个 或 多 个 组 件 构成 。 安 全 核 在 TCSEC 中 的 定义 是 : 一 个 TCB 中 
实现 引用 监控 机 思想 的 硬件 .固件 和 软件 成 分 ; 它 必须 仲裁 所 有 访问 、 必 须 保护 自身 免 受 修 
改 、 必 须 能 被 验证 是 正确 的 。 

TCSEC 提供 D.C1、C2、B1、B2、B3 和 Al 等 七 个 等 级 的 可 信 系统 评价 标准 ,每 个 等 级 
对 应 有 确定 的 安全 特性 需求 和 保障 需求 ,高 等 级 的 需求 建立 在 低 等 级 的 需求 的 基础 之 上 ,可 
形象 地 表示 成 图 11-5 的 形式 。 
D : 最 小 保护 
C1: 自主 安全 保护 
C2 : 受 控 访问 保护 
B1 : 标记 安全 保护 
B2 : 结构 化 保护 
B3 : 安全 域 
Al : 验证 的 设计 


安全 特性 需求 


图 11-5 TCSEC 的 构成 与 等 级 结构 


(1) D 类 安全 等 级 : 只 包含 D1 类 别 , 是 最 低 的 安全 等 级 。D1 系统 只 为 文件 和 用 户 提 
供 安 全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 保护 的 网 络 。 

(2) C 类 安全 等 级 : 该 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 审 
计 能 力 。C 类 安全 等 级 可 划分 为 自主 安全 保护 Cl 和 可 控 访 问 保护 C2 两 类 。C1 系统 的 可 
信任 计算 基础 (Trusted Computing Base, TCB), 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目 
的 。 在 Cl 系统 中 ,所 有 的 用 户 以 同样 的 灵敏 度 来 处 理 数据 , 即 用 户 认为 Cl 系统 中 的 所 有 
文档 都 具有 相同 的 机 密 性 。C2 系统 比 Cl 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 
时 ,C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 
增强 这 种 控制 。C2 系统 具有 C1 系统 中 所 有 的 安全 性 特征 。 

(3) B 类 安全 等 级 : B 类 安全 等 级 可 分 为 标识 安全 保护 Bl 结构 安全 保护 B2 和 安全 域 
保护 B3 三 类 。B 类 系统 具有 强制 性 保护 功能 。 强 制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 
级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。 

Q@ Bl 系统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 
用 灵敏 度 标 记 作为 所 有 强迫 访问 控制 的 基础 ; 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 
标记 它们 ; 灵敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 当 系 统管 理 员 创建 系 
统 或 者 增加 新 的 通信 通道 或 IO 设备 时 ,管理 员 必须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 
还 是 多 级 ,并 且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ; 所 
有 直接 面向 用 户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ?都 必须 产生 标记 来 指示 关于 输出 对 
象 的 灵敏 度 ; 系统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 
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审计 来 记录 未 授权 访问 的 企图 。 

@ B2 系统 必须 满足 B1 系统 的 所 有 要 求 。 另 外 .B2 系统 的 管理 员 必 须 使 用 一 个 明确 
的 \ 文 档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 
系统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连 接 的 改变 ; 只 有 用 户 能 够 在 
可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管 
理 员 。 

@ B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 
能 力 和 抗 干 扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 
个 别 对 象 的 访问 外 ,B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 没 
有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ,要 求 用 户 进 行 身份 验证 ; B3 系统 验 
证 每 个 用 户 , 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 设计 者 必须 正确 区 分 可 信任 的 
通信 和 路径 和 其 他 路 径 ; 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 
可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

(4) A 类 安全 等 级 : A 系统 的 安全 级 别 最 高 。 目 前 ,A 类 安全 等 级 只 包含 Al 一 个 安全 
类 别 。Al 类 与 B3 类 相似 ,对 系统 的 结构 和 策略 不 作 特别 要 求 。Al 系统 的 显著 特征 是 , 系 
统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系统 。 对 系统 分 析 后 ,设计 者 必须 运用 核 
对 技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 
那里 接收 到 一 个 安全 策略 的 正式 模型 ; 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 管 
理 员 进 行 的 每 一 步 安 装 操作 都 必须 有 正式 文档 。 

2) 国内 的 安全 操作 系统 评估 标准 

为 了 适应 信息 安全 发 展 的 需要 ,我国 也 制定 了 计算 机 信息 系统 等 级 划分 准则 :《 信 息 技 
术 安 全 性 评估 准则 ?GB/T 18336 一 2001。 该 准则 将 操作 系统 安全 分 为 五 个 级 别 , 分 别 是 用 
户 自主 保护 级 、 系 统 审计 保护 级 ,安全 标记 保护 级 ,结构 化 保护 级 和 访问 验证 保护 级 。 五 个 
级 别 对 操作 系统 具备 的 安全 功能 有 不 同 的 要 求 , 如 表 11-1 所 示 。 

表 11-1 操作 系统 的 五 个 级 别 


安全 策略 用 户 自主 保护 级 系统 审计 保护 级 安全 标 计 保护 级 ”结构 化 保护 级 ”访问 验证 保护 级 


自主 访问 控制 Vv 
身份 鉴别 Sh 
数据 完整 性 Vv 


SS 
人 
A 
各 过 


上 述 五 个 级 别 从 低 到 高 ,每 个 级 别 都 实现 上 一 级 的 所 有 功能 ,并 且 有 所 增加 。 由 于 篇 幅 
有 限 , 这 里 不 再 详细 描述 上 述 的 安全 功能 和 五 个 级 别 的 具体 含义 ,读者 可 参考 信息 技术 安 
全 性 评估 准则 》GB/T 18336 一 2001。 


271 
第 11 章 操作 系统 安 


11.3.6 安全 Xenix 系统 的 开发 


1986 和 1987 年 ,IBM 公司 的 V. D. Gligor 等 发 表 了 安全 Xenix 系统 的 设计 与 开发 成 
果 。 安 全 Xenix 是 以 Xenix 为 原型 的 实验 型 安全 操作 系统 ,属于 UNIX 类 的 安全 操作 系 
统 , 它 要 实现 的 是 TCSEC 标准 B2-Al 级 的 安全 要 求 。 

1. 系统 开发 方法 和 保障 目标 

Gligor 等 把 UNIX 类 的 安全 操作 系统 的 开发 方法 划分 为 仿真 法 和 改造 /增强 法 两 种 方 
式 。 按 照 仿真 法 开发 的 UNIX 类 安全 操作 系统 由 一 个 安全 核 , 一 组 可 信 进 程 和 一 个 UNIX 
仿真 环境 组 成 。UNIX 仿真 环境 由 一 组 可 信 程序 或 进程 组 成 。 安 全 核实 现 引 用 监控 机 的 功 
能 ,向 上 提供 一 个 小 型 操作 系统 的 接口 。UNIX 仿真 环境 和 可 信和 进程 在 安全 核 之 上 构成 另 
一 个 软件 层 , 它 们 实现 UNIX 的 安全 政策 和 提供 UNIX 系统 接口 。 

改造 /增强 法 对 UNIX 系统 的 原 有 内 核 进行 改造 和 扩充 ,使 它 支持 新 的 安全 政策 和 
UNIX 的 安全 政策 ,并 保持 相应 的 系统 接口 。 安 全 Xenix 的 开发 采用 这 种 方法 。 

在 安全 保障 方面 ,安全 Xenix 项 目 重点 考虑 实现 以 下 目标 : 

(1) 系统 设计 与 BLP 模型 之 间 的 一 致 性 ; 

(2) 实现 的 安全 功能 的 测试 ; 

(3) 软件 配置 管理 工具 的 开发 。 

2. 访问 控制 方式 

按照 BLP 模型 实现 访问 控制 ,主体 是 进程 ,客体 是 进程 .文件 .特别 文件 (设备 )、 目 录 、 
管道 .信号 量 .共享 内 存 段 和 消息 。 访 问 权 限 有 read、write、execute 和 null。 

在 自主 访问 控制 中 ,传统 Xenix 的 owner/group/others 访问 控制 机 制 与 ACL 访问 控 
制 机 制 并 存 , 对 于 确定 的 客体 ,只 能 有 一 种 机 制 起 作用 ,由 用 户 确定 使 用 传统 Xenix 机 制 或 
ACL 机 制 。 

由 强制 访问 控制 带 来 的 诸如 /tmp 等 共享 目录 的 访问 问题 ,通过 隐藏 子 目录 的 方法 解 
决 ,隐藏 子 目录 在 用 户 login 时 由 系统 建立 。 

3. 安全 等 级 的 确定 

安全 Xenix 的 强制 访问 控制 的 安全 判断 以 进程 的 当前 安全 等 级 、 客 体 的 安全 等 级 和 访 
问 权 限 为 依据 。 

进程 的 当前 安全 等 级 (CPL) 在 创建 进程 时 确定 ,在 进程 的 整个 生存 期 内 保持 不 变 。 
login 时 生成 的 会 话 进程 的 CPL 值 由 用 户 在 login 过 程 中 根据 需要 自行 指定 ,但 必须 满足 以 
下 条 件 : 


System Low<CPL<PML 


其 中 ,System_Low 是 系统 的 最 小 安全 等 级 ,由 安全 管理 员 赋值 。PML 是 进程 的 最 大 安全 
等 级 ,由 下 式 确定 : 


PML = greatest_lower_bound(UML，GML，TML) 


greatest_lower_bound 是 最 大 下 界 函 数 。UML .GML 和 TML 分 别 是 用 户 、 用 户 组 和 终端 
的 最 大 安全 等 级 ,由 安全 管理 员 赋 值 。 
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其 他 进程 的 CPL 值 等 于 其 父 进 程 的 CPL 值 。 

设备 的 安全 等 级 由 安全 管理 员 指 定 。 文 件 , 管 道 \ 目 录 , 信 号 量 、 消 息 和 共享 内 存 段 等 的 
安全 等 级 等 于 创建 它们 的 进程 的 CPL 值 。 目 录 的 安全 等 级 也 可 以 在 创建 时 指定 ,但 其 值 必 
须 在 创建 它 的 进程 的 CPL 和 PML 之 间 。 

4. 安全 注意 键 与 可 信和 路径 

安全 Xenix 的 可 信和 通路 (Trusted Path) 是 以 安全 注意 键 (Secure Attention Key,SAK) 
为 基础 实现 的 。SAK 是 由 终端 驱动 程序 检测 到 的 键 的 一 个 特殊 组 合 。 每 当 系统 识别 到 用 
户 在 一 个 终端 上 输入 的 SAK , 便 终 止 对 应 到 该 终端 的 所 有 用 户 进程 ,启动 可 信 的 会 话 过 程 。 

5. 特权 用 户 

对 系统 的 管理 功能 进行 分 割 ,设立 可 信 系统 程序 员 、 系 统 安 全 管理 员 、 系 统 账户 管理 员 
和 系统 安全 审计 员 等 特权 用 户 ,通过 不 同 的 操作 环境 和 操作 界面 限定 各 特权 用 户 的 特权 。 

可 信 系 统 程序 员 具 有 超级 用 户 的 全 部 特权 ,但 只 能 在 系统 的 维护 模式 下 工作 ,负责 整个 
系统 的 配置 和 维护 。 系 统 安全 管理 员 负 责 管 理 系 统 中 有 关 的 安全 属性 ,如 安全 等 级 等 。 系 
统 账户 管理 员 负 责 用 户 账户 的 设立 撤销 及 相关 的 管理 工作 。 系 统 安全 审计 员 负 责 配 置 和 
维护 审计 机 制 和 审计 信息 。 
11.3.7 System V/MLS 系统 的 开发 

1988 年 ,AT&T Bell 实验 室 的 C. W. Flink II 和 J.D. Weiss 发 表 了 System V/MLS 
系统 的 设计 与 开发 成 果 。System V/MLS 是 以 AT&T 的 Unix System V 为 原型 的 多 级 安 
全 操作 系统 ,以 TCSEC 标准 的 安全 等 级 B 为 设计 目标 。 

1. BLP 模型 在 Unix System V 中 的 解释 

系统 按照 BLP 模型 提供 多 级 安全 性 支持 ,主体 是 进程 ,客体 包括 文件 .目录 \i- 节 点 、 进 
程 间 通信 (IPC) 结 构 和 进程 。BLP 模型 的 ss- 特 性 和 * -特定 在 Unix System V 中 的 映射 如 
表 11-2 所 示 。 


表 11-2 BLP 模型 在 Unix System V 中 的 映射 


操 作 条 件 
Read/Search/Execute label(S) 宇 label(O) 
Write(Overwrite/ Append) label(S)=1abel(O) 
Create/Link/Unlink label(S)= label(Od) 
Read-status label(S) 之 label(O) 
Change-status label(S) 一 label(O) 
Read-ipc label(S) 三 label(O) 
Write-ipc label(S) 王 label(O) 
Send-signal label(S) 王 label(O) 


其 中 ,label 表示 安全 等 级 标记 ,S 表示 主体 ,O 表示 客体 ,Od 表示 目录 客体 ,实际 上 指 
被 操作 的 客体 所 在 的 目录 。 
在 强制 访问 控制 下 ,共享 目录 问题 采用 隐藏 子 目 录 的 方法 解决 。 
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2. 安全 标记 机 制 设计 

Unix System V 提供 owner/group/others 方式 的 保护 机 制 ,支持 用 户 组 的 概念 ,用 户 
组 由 组 标识 (GID) 表 示 。 在 系统 中 ,每 个 主体 的 进程 表 中 、 每 个 客体 的 节 点 中 、 每 个 IPC 
的 数据 结构 中 ,都 有 一 个 GID 域 。 为 保持 系统 兼容 性 ,不 修改 UNIX 的 底层 数据 结构 ， 
System V/MLS 利用 系统 中 的 GID 域 表示 强制 访问 控制 的 安全 等 级 标记 。 为 扩大 安全 等 
级 标记 和 用 户 组 的 取 值 范围 ,采用 间接 标记 方式 , 即 ,在 GID 域 中 存放 的 是 索引 ,索引 指向 
的 数据 结构 存放 安全 等 级 标记 、 自 主 访问 控制 的 GID 和 其 他 信息 。 

3. 多 级 安全 性 实现 方法 

通过 在 内 核 中 加 入 多 级 安全 性 (MLS) 模 块 实现 对 多 级 安全 性 的 支持 。MLS 模块 是 内 
核 中 可 删除 、 可 替换 的 独立 模块 ,负责 解释 安全 等 级 标记 的 含义 和 多 级 安全 性 控制 规则 , 实 
现 强制 访问 控制 判定 。 在 原 系统 的 与 访问 判定 有 关 的 内 核 函 数 中 插入 调用 MLS 模块 的 命 
令 ,实现 原 有 内 核 机 制 与 MLS 机 制 的 连接 。 


11.4 主流 操作 系统 的 安全 性 


安全 操作 系统 的 具体 实施 与 该 操作 系统 的 设计 目标 和 应 用 目标 有 关 , 也 与 其 运行 的 平 
台 有 关 。 并 非 所 有 的 应 用 都 需要 Al 级 的 安全 性 ,而 且 也 很 少 有 操作 系统 具有 能 够 使 应 用 
达到 Al 级 的 特性 。 在 实际 的 实施 中 ,仍然 主要 考虑 安全 内 核 及 存 取 控 制 ,重点 在 广泛 使 用 
的 系统 上 。 在 下 面 的 两 小 节 中 ,我 们 主要 介绍 目前 使 用 最 广泛 的 两 类 操作 系统 的 安全 特性 。 


11.4.1 UNIX/Linux 的 安全 


UNIX 是 一 个 强大 的 多 用 户 、 多 任务 操作 系统 ,支持 多 种 处 理 器 架构 ,最 早 由 Ken 
Thompson、Dennis Ritchie 和 Douglas Mcllroy 于 1969 年 在 AT&T 的 贝尔 实验 室 开发 。 
UNIX 的 开发 者 在 初期 并 不 打算 使 UNIX 拥有 很 高 的 安全 性 ,因为 其 应 用 基于 相互 信任 的 
环境 ,如 研究 所 、 实 验 室 、 大 学 等 。 在 这 些 场 所 ,共享 带 来 的 好 处 远 远 大 于 不 友好 的 访问 。 因 
此 ,系统 中 采用 了 一 般 的 安全 机 制 ,文件 ,数据 .设备 .存储 卷 的 共享 相对 简单 ,不 采用 强 保护 
机 制 。UNIX 的 超级 权限 是 “超级 用 户 ”, 它 集 系 统 大 权 于 一 身 , 能 完成 系统 中 的 任何 操作 ， 
因此 , 它 也 成 为 攻击 的 对 象 。 只 要 获得 超级 用 户 权 限 , 哪 怕 是 几 分 钟 ,入 侵 者 则 可 建立 在 以 
后 任何 时 间 提 供 超级 用 户 存 取 的 密 铀 。UNIX 系统 存在 的 隐蔽 通道 已 经 暴露 出 了 一 些 漏 
洞 , 莫 里 斯 (R. T. Morris) 蠕虫 正 是 利用 了 这 些 安全 缺陷 。 用 于 特殊 环境 的 安全 UNIX 操 
作 系 统 实际 是 通过 重 写 UNIX 内 核 ,并 提供 具有 不 同 内 部 结构 的 UNIX 外 部 功能 实现 的 。 

UNIX 系统 的 安全 性 在 不 断 增强 ,并 出 现 了 许 许多 多 的 安全 检测 工具 ,例如 Quest、 
UXA、Alert/Inform、Sfind、USECURE、Kerberos 等 ,这 些 工 具 可 以 帮助 系统 管理 员 检 查 安 
全 机 制 \ 权 限 和 安全 域 设 置 .可 疑 入 侵 、 特 洛 伊 木 马 等 。 在 目前 已 经 推出 的 UNIX 系统 中 ， 
常规 UNIX 具有 C1l 级 安全 级 别 ,OSF/1 具有 Bl 安全 级 别 ,USL 的 SVR4/ES 则 具有 B2 安 
全 级 别 。 

Linux 系统 是 芬兰 赫尔辛基 大 学 的 一 名 学 生 Linus Torvalds 于 1991 年 开发 的 。 作 为 
类 UNIX 系统 ,由 于 其 源码 开放 、 免 费 使 用 和 可 自由 传播 而 深 受 人 们 的 喜爱 。 经 过 二 十 多 
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年 的 发 展 ,Linux 的 安全 机 制 日 趋 完善 ,按照 TCSEC 的 评估 标准 ,目前 Linux 的 安全 级 基本 
达到 了 C2 级 。Linux 的 安全 机 制 主要 有 PAM 机 制 .文件 系统 加 密 . 入 侵 检 测 机 制 、 安 全 日 
志文 件 机 制 、 强 制 访问 控制 .防火 墙 机 制 等 。 

(1) PAM 机 制 : PAM(Pluggable Authentication Modules) 是 一 套 共 享 库 ,提供 一 个 框 
架 和 一 套 编 程 接口 给 系统 管理 员 ,由 系统 管理 员 在 多 种 认证 方法 中 选择 适宜 的 认证 方法 ,并 
能 够 改变 本 地 认证 方法 而 不 需要 重新 编译 与 认证 相关 的 程序 。PAM 的 主要 功能 有 : @D 口 
令 加 密 ; 根据 需要 限制 用 户 对 系统 资源 的 使 用 ,防止 拒绝 服务 攻击 ; @ 支 持 Shadow 口 
令 ; @ 限 制 特定 用 户 在 指定 时 间 从 指定 地 点 登录 ; @ 引 入 概念 “client plug-in agents”, 使 
PAM 支持 C/S 应 用 中 的 “机 器 -机 器 ”认证 成 为 可 能 ; @PAM 为 更 有 效 的 认证 方法 的 开发 
提供 了 便利 ,在 此 基础 上 可 以 很 容易 地 开发 出 替代 常规 的 用 户 名 加 口令 的 认证 方法 ,如 智能 
卡 、 指 纹 识 别 等 认证 方法 。 

(2) 文件 系统 加 密 : 加 密 技 术 在 现代 计算 机 系统 安全 中 扮演 着 越 来 越 重 要 的 角色 。 文 
件 系 统 加 密 就 是 将 加 密 技术 应 用 到 文件 系统 ,从 而 提高 计算 机 系统 的 安全 性 。 目 前 Linux 
已 有 多 种 加 密 文件 系统 ,如 CFS .TCFS .CRYPTFS 等 , 较 有 代表 性 的 是 TCFS(Transparent 
Cryptographic File System)。 它 通过 将 加 密 服务 和 文件 系统 紧密 集成 ,使 用 户 感觉 不 到 文 
件 的 加 密 过 程 。TCFS 不 修改 文件 系统 的 数据 结构 ,备份 与 修复 以 及 用 户 访 问 保密 文件 的 
语义 也 不 变 。TCFS 能 够 做 到 让 保密 文件 对 以 下 用 户 不 可 读 : @ 合 法 拥有 者 以 外 的 用 户 ; 
名 用 户 和 远程 文件 系统 通信 线路 上 的 偷 听 者 ; @ 文 件 系 统 服务 器 的 超级 用 户 。 而 对 于 合法 
用 户 ,访问 保密 文件 与 访问 普通 文件 几乎 没有 区 别 。 

(3) 入侵 检测 机 制 : 入 侵 检 测 技术 是 一 项 相对 比较 新 的 技术 ,很 少 有 操作 系统 安装 了 
人 和 人 侵 检测 工具 ,事实 上 ,最近 的 Linux 标准 发 布 版 本 才 配备 了 这 种 工具 ,目前 比较 流行 的 人 
侵 检 测 系统 有 Snort、Portsentry、Lids 等 。 利 用 Linux 配备 的 工具 和 从 因特网 下 载 的 工具 ， 
就 可 以 使 Linux 具备 高 级 的 入 侵 检测 能 力 , 这 些 能 力 包括 : 记录 入 侵 企图 , 当 攻 击发 生 时 
及 时 通知 管理 员 ; @ 当 预先 定义 的 攻击 行为 发 生 时 ,采取 预定 义 的 措施 处 理 ; 加 发 送 一 些 
错误 信息 ,比如 伪装 成 其 他 操作 系统 ,这 样 攻击 者 会 认为 他 们 正在 攻击 一 个 Windows NT 
或 Solaris 系统 ,以 增加 攻击 的 难度 。 

(4) 安全 日 志文 件 机 制 : 即使 系统 管理 员 十 分 精明 地 采取 了 各 种 安全 措施 ,还 会 有 新 
漏洞 出 现 。 攻 击 者 在 漏洞 被 修补 之 前 会 迅速 抓 住 机 会 攻破 尽 可 能 多 的 机 器 。 虽 然 Linux 不 
能 预测 何 时 主机 会 受到 攻击 ,但 是 它 可 以 记录 攻击 者 的 行踪 。 这 些 信 息 将 被 重 定 向 到 日 志 
中 备查 。 

日 志 是 Linux 安全 结构 中 的 一 个 重要 内 容 , 它 是 提供 攻击 发 生 的 唯一 真实 证 据 。 因 为 
现在 的 攻击 方法 多 种 多 样 , 所 以 Linux 记录 网 络 .主机 和 用 户 级 的 日 志 信息 。 例 如 ,Linux 
可 以 记录 以 下 内 容 : 记录 所 有 系统 和 内 核 信 息 ; 加 记录 每 一 次 网 络 连接 和 它们 的 源 IP 地 
址 \ 长 度 , 有 时 还 包括 攻击 者 的 用 户 名 和 使 用 的 操作 系统 ; @ 记 录 远 程 用 户 申 请 访问 哪些 文 
件 ; @ 记 录用 户 可 以 控制 哪些 进程 ; @ 记 录 具 体 用 户 使 用 的 每 条 命令 。 在 调查 网 络 入 侵 者 
的 时 候 , 日 志 信息 是 不 可 缺少 的 ,即使 这 种 调查 是 在 实际 攻击 发 生 之 后 进行 。 

(5) 强制 访问 控制 : 由 于 Linux 是 一 种 自由 操作 系统 ,目前 在 其 上 实现 强制 访问 控制 
的 就 有 好 几 种 产品 ,其 中 比较 典型 的 包括 SElinux、RSBAC、MAC 等 ,采用 的 策略 也 各 不 相 
同 。NSA 推出 的 SELinux 安全 体系 结构 称 为 Flask, 在 这 一 结构 中 ,安全 性 策略 的 逻辑 和 
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通用 接口 一 起 封装 在 与 操作 系统 独立 的 组 件 中 , 这 个 单独 的 组 件 称 为 安全 服务 器 。 
SELinux 的 安全 服务 器 定义 了 一 种 混合 的 安全 性 策略 ,由 类 型 实施 (TE) 、 基 于 角色 的 访问 
控制 (RBAC) 和 多 级 安全 (MLS) 组 成 。 通 过 替换 安全 服务 器 ,可 以 支持 不 同 的 安全 策略 。 
SELinux 使 用 策略 配置 语言 定义 安全 策略 ,然后 通过 checkpolicy 编译 成 二 进 制 形式 ,存储 
在 文件 /ss_policy 中 ,在 内 核 引 导 时 读 到 内 核 空间 。 这 意味 着 安全 性 策略 在 每 次 系统 引导 
时 都 会 有 所 不 同 。 策 略 甚至 可 以 通过 使 用 security_load_policy 接口 在 系统 操作 期 间 更 改 
(只 要 将 策略 配置 成 允许 这 样 的 更 改 )。RSBAC 的 全 称 是 Rule Set Based Access Control 
(基于 规则 集 的 访问 控制 ), 它 是 根据 Abrams 和 LaPadula 提出 的 Generalized Framework 
for Access Control(GFAC) 模 型 开发 的 ,可 以 基于 多 个 模块 提供 灵活 的 访问 控制 。 所 有 与 
安全 相关 的 系统 调用 都 扩展 了 安全 实施 代码 ,这 些 代 码 调用 中 央 决 策 部 件 ,该 部 件 随 后 调用 
所 有 激活 的 决策 模块 ,形成 一 个 综合 的 决定 ,然后 由 系统 调用 扩展 来 实施 这 个 决定 。 
RSBAC 目前 包含 的 模块 主要 有 MAC、RBAC、ACL 等 。MAC 是 英国 的 Malcolm Beattie 
针对 Linux 2. 2 编写 的 一 个 非常 初级 的 MAC 访问 控制 , 它 将 一 个 运行 的 Linux 系统 分 隔 成 
多 个 互 不 可 见 的 (或 者 互相 限制 的 ) 子 系统 ,这 些 子 系统 可 以 作为 单一 的 系统 来 管理 ,MAC 
是 基于 传统 的 Biba 完整 性 模型 和 BLP 模型 实现 的 。 

(6) 防火 墙 机制 : 防火 墙 是 在 被 保护 网 络 和 因特网 之 间 ,或 者 在 其 他 网 络 之 间 限 制 访 
问 的 一 种 部 件 或 一 系列 部 件 。Linux 防火 墙 系统 提供 了 如 下 功能 : 访问 控制 ,可 以 执行 
基于 地 址 ( 源 和 目标 )、 用 户 和 时 间 的 访问 控制 策略 ,从 而 可 以 杜绝 非 授权 的 访问 ,同时 保护 
内 部 用 户 的 合法 访问 不 受 影 响 ; @ 审 计 , 对 通过 它 的 网 络 访 问 进行 记录 ,建立 完备 的 日 志 、 
审计 和 追踪 网 络 访 问 记录 ,并 可 以 根据 需要 产生 报表 ; @ 抗 攻击 ,防火墙 系统 直接 暴露 在 非 
信任 网 络 中 ,对 外 界 来 说 ,受到 防火 墙 保护 的 内 部 网 络 如 同一 个 点 ,所 有 的 攻击 都 是 直接 针 
对 它 的 ,该 点 称 为 堡垒 机 ,因此 要 求 堡 侄 机 具有 高 度 的 安全 性 和 抵御 各 种 攻击 的 能 力 ; 四 其 
他 附属 功能 ,如 与 审计 相关 的 报警 和 入 侵 检 测 ,与 访问 控制 相关 的 身份 验证 ,加 密 和 认证 ,其 
至 VPN 等 。 


11.4.2 Windows 2000/XP 的 安全 


Windows NT 是 美国 Microsoft 公司 于 1992 年 发 布 的 32 位 操作 系统 ,其 安全 级 别 达 到 
TCSEC 的 C2 级 。Windows NT 的 安全 模型 由 本 地 认证 、 安 全 账号 管理 和 安全 参考 监视 器 
以 及 注册 、 访 问 控制 和 对 象 安全 服务 等 构成 。 作 为 Windows NT 的 后 续 版 本 , Windows 
2000/ XP 提供 更 多 的 新 的 安全 机 制 。 下 面 我 们 就 这 些 安全 机 制 做 一 个 简单 的 介绍 。 

(1) 活动 目录 (Active Directory) 服 务 : 活动 目录 服务 在 网 络 安全 中 具有 极其 重要 的 作 
用 。 活 动 目录 为 用 户 、 硬 件 .应 用 以 及 网 络 上 的 数据 提供 一 个 存储 中 心 。 活 动 目录 也 存储 用 
户 的 授权 和 认证 信息 。 与 Windows NT 采用 的 平 -文件 目录 形式 不 同 , Windows 2000 活动 
目录 以 一 种 逻辑 分 层 结构 存储 信息 (图 11-6) ,这 样 具有 很 好 的 扩展 性 和 简化 管理 。 活 动 目 
录 使 用 域 (Domains) 、 组 织 单元 (Organizational Units) 和 对 象 组 织 网 络 资源 ,这 与 Windows 
用 文件 夹 和 文件 组 织 PC 本 地 信息 类 似 。 

一 个 域 是 一 个 网 络 对 象 ,是 组 织 单元 、 用 户 账号 、 组 和 计算 机 的 集合 ,多 个 域 组 成 域 树 。 
组 织 单元 是 把 对 象 组 织 成 逻辑 管理 组 的 容器 ,可 包含 一 个 或 多 个 对 象 。 一 个 对 象 是 一 个 独 
立 的 个 体 ,如 用 户 账 号 计算机、 打印 机 等 。Windows 2000 以 域 间 的 信任 关系 控制 用 户 对 网 
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11-6 活动 目录 服务 的 分 层 结构 


络 资源 的 访问 权限 。 通 过 建立 域 间 的 信任 关系 ,可 以 允许 用 户 和 计算 机 在 任何 一 个 域 中 进 
行 身份 认证 从 而 使 用 经 过 授权 的 资源 ,这 种 横 穿 多 个 域 保持 的 信任 关系 也 称 为 穿越 信任 。 
采用 穿越 信任 关系 可 以 大 大 地 减少 网 络 中 单 向 信任 关系 的 量 , 从 而 简化 网 络 管理 。 

(2) Kerberos 审计 协议 : Windows 2000 使 用 互连网 标准 Kerberos V5 协议 (RFC 
1510) 进 行 用 户 审 计 。Kerberos 协议 定义 了 客户 端 和 密 钥 分 配 中 心 的 认证 服务 之 间 的 安全 
交互 。Kerberos 协议 为 客户 /服务 器 建立 连接 前 提供 一 种 交互 审计 的 机 制 ,其 特点 如 下 。 

@ 在 建立 初始 连接 时 增强 服务 器 认证 性 能 。 应 用 服务 器 不 需要 连接 到 域 控制 器 认证 
客户 端 ,这 样 应 用 服务 器 可 处 理 大 量 的 客户 连接 请 求 , 同 时 具有 和 良好 的 可 伸缩 性 。 

@ 多 层 客户 机 /服务 器 应 用 的 认证 委派 。 

@ 具有 穿越 信任 关系 的 域 间 认 证 。 

Kerberos 认证 基于 票据 (tickets) , 当 一 个 客户 登录 到 基于 Windows 2000 的 域 中 时 ,会 
获得 一 个 票据 ,该 票据 用 于 验证 客户 正在 访问 的 网 络 资源 的 合法 性 以 及 客户 能 访问 的 网 络 
资源 。Kerberos 协议 依赖 于 共享 密 钥 的 认证 机 制 ,客户 和 服务 器 都 需要 注册 到 Kerberos 
的 认证 服务 器 上 。 其 基本 过 程 是 : 客户 登录 并 从 KDC(Key Distribution Center, 密 钥 分 配 
中 心 ) 得 到 一 个 许可 票据 (Granting Ticket); 客户 用 许可 票据 在 KDC 处 为 每 种 网 络 资源 访 
问 的 会 话 获 取 会 话 票据 (Session Tickets); 客户 在 与 应 用 服务 器 建立 连接 时 提交 会 话 票据 ， 
应 用 服务 器 验证 KDC 签发 的 会 话 票 据 的 合法 性 以 确定 是 否 建 立 客户 /服务 器 连接 。 

(3) PKI (Public Key Infrastructure, 公 钥 基 础 设施 ): 公 钥 加 密 主 要 用 在 互连网 一 类 的 
开放 网 络 , 可 以 允许 用 户 通 过 证 书 进行 数据 加 密 数据 签名 和 验证 身份 。 公 钥 加 密 技术 的 挑 
战 在 于 跟踪 证 书 。PKI 提供 使 用 、 管 理 和 发 现 公 钥 证 书 的 服务 。Windows 2000 PKI 为 用 
户 提供 基于 PKI 技 术 的 超 强 安全 系统 ,支持 公 钥 加 密 而 用 户 和 应 用 无 须知 道 证 书 如 何 存储 
和 工作 ,完全 与 活动 目录 以 及 操作 系统 分 布 式 安全 服务 集成 ,其 基本 组 件 包括 : 

@ 证 书 服务 ,允许 组 织 和 企业 建立 自己 的 CA(Certificate Authority, 认 证 中 心 ) 系 统 ， 
发 布 和 管理 数字 证 书 。 

@ 活动 目录 ,提供 查找 网 络 资源 的 唯一 位 置 , 提 供 证 书 和 信息 发 布 的 服务 。 

@ 基于 PKI 的 应 用 ,包括 Internet Explorer、 Internet Information Server、 Outlook 
Express 等 ,以 及 一 些 第 三 方 PKI 应 用 。 
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@ 交换 密 钥 管理 服务 (Exchange Key Management Service) ,允许 应 用 存储 和 获取 用 于 
加 密 E-mail 的 密 钥 。 

Windows 2000 PKI 提供 的 安全 功能 具有 互 操作 性 、 安 全 性 .灵活 性 以 及 易 用 性 等 

(4) 智能 卡 : 智能 卡 是 一 种 相对 简单 的 方式 使 非 授 权 人 更 难 获得 访问 网 络 的 权限 。 因 
此 ,Windows 2000 为 智能 卡 安全 提供 内 在 支持 。 与 口令 认证 方式 不 同 ,采用 智能 卡 进行 认 
证 时 ,用 户 把 卡 插入 连接 到 计算 机 的 读 写 器 中 ,并 输入 卡 的 PIN (Personal Identification 
Number, 个 人 标识 号 ), Windows 使 用 卡 中 存储 的 私 钥 和 证 书 向 Windows 域 控制 器 的 KDC 
认证 用 户 , 认 证 完毕 后 ,KDC 返回 许可 票据 。 智 能 卡 认证 比 口令 认证 具有 更 高 的 安全 性 ， 
因为 : 

Q@ 智能 卡 方式 需要 一 个 物理 卡 来 认证 用 户 。 

@ 智能 卡 的 使 用 必须 提供 一 个 个 人 标识 号 来 保证 只 有 经 过 授权 的 人 在 使 用 该 智能 卡 。 

@ 因为 不 能 从 智能 卡 中 提取 出 密 钥 , 所 以 有 效 地 消除 了 通过 盗用 用 户 证 书 而 对 系统 产 
生 的 威胁 。 

@ 没有 智能 卡 ,攻击 者 就 不 能 访问 智能 卡 保护 的 资源 。 

@ 没有 口令 或 任何 可 重用 信息 的 传输 。 

(5) 加 密 文件 系统 (Encrypting File System) : 除了 保护 存储 在 网 络 中 的 资源 ,如 何 保 
护 存储 在 本 地 计算 机 中 的 数据 安全 呢 ?Windows 的 加 密 文件 系统 支持 用 户 对 指定 的 本 地 
计算 机 中 的 文件 或 文件 夹 进行 加 密 ,非法 用 户 不 能 对 加 密 文件 进行 读 写 操 作 。 此 外 , 当 计算 
机 物理 丢失 时 ,EFS 系统 可 防止 敏感 信息 的 丢失 和 泄漏 。 

Windows 使 用 CryptoAPI 提供 的 公 钥 和 对 称 密 钥 加 密 算法 对 文件 或 文件 夹 进行 加 密 。 
虽然 EFS 的 内 部 实现 机 制 非常 复杂 ,但 用 户 使 用 起 来 非常 方便 简单 ,仅仅 需要 选中 文件 或 
文件 夹 后 , 单 击 鼠标 右键 ,在 属性 菜单 中 选中 相应 的 菜单 项 完成 加 密 , 合 法 用 户 再 次 打开 文 
件 时 自动 解密 。EFS 对 合法 用 户 的 操作 是 透明 的 ,而 对 攻击 者 却 是 加 密 的 。 

(6) 安全 配置 模板 (Security Configuration Templates) : 为 了 方便 一 个 组 织 网 络 的 建立 
和 管理 ,Windows 提供 安全 模板 工具 (Security Templates Tool) 。 系 统管 理 员 使 用 管理 控 
制 台 定 义 标准 模板 并 统一 地 应 用 到 多 个 计算 机 和 用 户 中 。 

一 个 安全 模板 是 一 个 安全 配置 的 物理 表示 , 即 是 存储 一 组 安全 设置 的 文件 。Windows 
包含 了 一 组 标准 安全 模板 ,从 低 安 全 的 客户 端 配置 到 高 安全 的 域 控制 器 配置 ,用 于 不 同 的 场 
合 和 不 同 角色 的 计算 机 。 这 些 模板 可 直接 使 用 、 修 改 或 作为 用 户 定 制 安全 模板 的 基础 。 一 
个 模板 中 一 般 包括 下 列 安全 设置 项 : 

Q@ 账号 策略 ,包括 密码 、 账 号 锁定 和 Kerberos 策略 的 安全 性 。 

@ 本 地 策略 ,用 户 权 限 和 记录 安全 事件 。 

@ 事件 日 志 , 定 义 事件 日 志 的 安全 性 。 

@ 受 限 组 ,本 地 组 成 员 的 管理 。 

@ 注册 表 , 本 地 注册 表 项 的 安全 性 。 

@ 文件 系统 ,本 地 文件 系统 的 安全 性 。 

@ 系统 服务 ,本 地 服务 的 安全 性 和 启动 模式 。 
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习题 11 


am 


.说明 操 作 系统 所 面临 的 安全 威胁 。 

. 计算 机 系统 可 建立 哪些 安全 策略 ? 

.操作 系统 采用 了 哪些 安全 控制 方法 ? 简 述 各 安全 控制 方法 的 基本 原理 。 
.什么 是 安全 操作 系统 ? 

. 常见 的 安全 操作 系统 模型 有 哪 几 种 ? 说 明 其 基本 原理 。 

6. 


简 述 安全 操作 系统 设计 的 一 般 原则 。 说 明基 于 上 述 原 则 的 安全 操作 系统 设计 方法 


的 基本 原理 。 


和 
8. 
% 


说 明 操作 系统 的 可 信和 度 验证 方法 。 
什么 是 TCSEC? 说 明 其 主要 内 容 。 
试 述 我 国 的 安全 操作 系统 标准 包含 哪些 级 别 以 及 相应 的 安全 策略 要 求 。 


10. 说 明 主 流 操 作 系 统 UNIX/Linux、Windows 2000/XP 采 用 的 安全 机 制 。 
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各 种 大 型 软件 、 专 用 软件 (如 金融 财务 软件 ,军用 软件 ,统计 规划 软件 ,地 
理 ` 气象. 能源、 航空 航天 软件 等 ) 的 使 用 ,大 型 数据 库 的 联网 开放 ,都 使 软件 
和 数据 的 重要 性 和 地 位 日 益 重 要 和 不 可 缺少 。 对 软件 和 数据 的 依赖 性 日 益 
严重 ,软件 中 任何 一 个 小 的 丝 漏 一 种 不 完善 的 功能 、 一 次 微细 的 修改 都 可 能 
对 系统 造成 极 大 的 影响 。 软 件 自身 也 给 那些 具有 恶意 企图 的 人 、 企 图 利用 软 
件 来 达到 非法 目的 的 人 带 来 一 个 攻击 对 象 ,所 以 ,对 软件 的 保护 和 对 系统 的 
保护 一 样 至 关 重 要 ,是 十 分 迫切 需要 解决 的 问题 。 


12.1 软件 安全 的 概念 


软件 安全 的 概念 如 下 : 软件 安全 是 在 软件 生命 周期 中 ,运用 系统 安全 工 
程 的 技术 原则 保证 软件 采取 正确 的 措施 以 增强 系统 安全 ,确保 那些 使 系统 安 
全 性 降低 的 错误 已 被 消除 或 已 被 控制 在 一 个 可 接受 的 危险 级 别 内 。 所 谓 软 
件 安全 工程 , 即 采 用 工程 的 概念 原理、 技术 和 方法 ,在 操作 效果 、 时 间 和 耗费 
的 约束 下 ,把 科学 的 管理 技术 和 当前 能 够 得 到 的 最 好 的 方法 结合 起 来 以 获得 
足够 的 安全 性 能 。 

在 软件 安全 中 ,危险 (Hazard) 是 一 个 专门 的 术语 ,指导 致 或 可 能 引起 一 
个 失误 的 已 存在 或 潜在 的 条 件 。 失 误 (Miscap) 可 认为 是 任意 组 合 的 一 系列 
连续 的 并 发 的 相关 事件 ,在 满足 危险 发 生 的 条 件 情况 下 ,这 一 系列 事件 的 发 
生 会 导致 系统 失去 控制 并 产生 损失 。 

软件 安全 性 除了 包括 软件 的 完整 性 、 可 用 性 、 保 密 性 外 ,还 包括 了 软件 的 
运行 安全 性 。 众 所 周知 ,来 自 系统 外 部 的 恶意 攻击 的 主要 目标 是 计算 机 系 
统 , 其 直接 的 重点 目标 是 信息 和 数据 ,以 及 包含 .记录 和 存储 这 些 信息 数据 的 
软件 (程序 )。 软 件 的 丢失 、 算 改 窃取、 非法 复制 ,滥用 等 对 系统 造成 的 后 果 
是 灾难 性 的 ,对 社会 造成 的 影响 可 以 是 严重 和 深远 的 。 

软件 的 安全 防护 可 以 分 为 外 部 和 自身 保护 ,包含 了 如 下 几 个 方面 。 

(1) 软件 自身 安全 : 防止 软件 丢失 ,被 破坏 、 被 自 改 、 被 伪造 。 
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(2) 软件 存储 安全 : 可 靠 存储 ,保密 存储 .压缩 存储 ,备份 存储 。 

(3) 软件 通信 安全 : 安全 传输 、 加 密 传输 、 网 络 安全 下 载 .完整 下 载 。 

(4) 软件 使 用 安全 : 合法 用 户 与 非法 用 户 ,授权 访问 ,防止 软件 滥用 ,防止 软件 窃取 , 软 
件 的 非法 复制 。 

(5) 软件 运行 安全 : 确保 软件 正常 运行 ,功能 正常 。 

如 今 ,影响 计算 机 软件 安全 的 因素 太 多 ,几乎 不 可 能 建立 一 个 绝对 安全 保密 的 信息 系 
统 。 一 方面 要 加 强人 为 因素 的 控制 ,如 制定 相关 法 律 .法规 ,加 强 管理 ; 另 一 方面 ,加 强 技术 
性 措施 的 运用 ,如 系统 软件 安全 保密 .通信 网 络 安全 保密 ,数据库 系统 以 及 软件 安全 保密 等 。 


12.1.1 软件 自身 安全 


软件 安全 保护 的 另 一 方面 是 软件 自身 的 完整 性 ,这 就 是 软件 抵御 外 部 攻击 的 能 力 。 自 
身 安 全 的 研究 包括 软件 自身 完整 性 、 程 序 自 诊断 .软件 加 密 、 软 件 压 缩 . 软 件 运行 控制 等 方 
面 ,已 经 推出 了 若干 实用 的 安全 工具 软件 和 安全 运行 控制 部 件 ( 如 “软件 狗 ” 等 )。 尽 管 如 此 ， 
软件 的 次 用、 非法 复制 . 破 析 等 依然 存在 。 反 次 用 、 反 破 析 、 防 范 非法 复制 之 间 的 对 抗 也 是 长 
期 的 ,所 以 ,软件 的 反 跟 踪 、 反 破 析 、 自 毁 技 术 也 在 软件 开发 过 程 中 逐渐 发 展 起 来 。 

软件 自身 安全 的 另 一 个 重大 隐患 是 软件 中 存在 的 隐蔽 通道 ,以 及 有 意 无 意 设置 的 陷阱 
(trapdoor) ,隐蔽 通道 是 指 一 个 秘密 的 和 未 公开 发 表 的 进入 软件 模块 的 入 口 。 这 些 和 人 口 可 
以 是 软件 程序 为 了 功能 扩充 而 保留 的 程序 接口 ; 为 软件 测试 而 有 意 留 下 ,但 测试 后 又 忘记 
删除 的 接口 或 入 口 ; 为 今后 软件 维护 而 有 意 留 下 的 程序 入 口 ; 软件 产品 化 后 提供 的 公共 调 
用 入 口 等 。 

通过 提高 软件 的 可 靠 性 可 以 加 强 软 件 运 行 过 程 中 的 安全 性 。 软 件 可 靠 性 可 以 定义 为 : 
软件 按 规定 的 条 件 ,在 规定 的 时 间 内 运行 而 不 发 生 故 障 的 能 力 。 同 样 ,软件 的 故障 是 由 于 它 
固有 的 缺陷 导致 错误 ,进而 使 系统 的 输出 不 满足 预定 的 要 求 , 造 成 系统 的 故障 。 所 谓 按 规定 
的 条 件 主要 是 指 软 件 的 运行 (使 用 ) 环 境 , 它 涉及 软件 运行 所 需要 的 一 切 支持 系统 及 有 关 的 
因素 ,如 支持 硬件 .操作 系统 及 其 他 支持 软件 .输入 数据 的 规定 格式 和 范围 .操作 规程 等 。 和 
硬件 可 靠 性 相似 ,在 软件 的 寿命 周期 中 ,也 有 早期 故障 期 和 偶然 故障 期 。 早 期 故障 率 也 高 于 
偶然 故障 期 的 故障 率 , 但 软件 不 存在 故障 率 呈 增长 趋势 的 耗损 故障 期 ,软件 的 缺陷 纠正 一 个 
就 减少 一 个 ,不 会 重复 出 现 。 


12.1.2 软件 存储 安全 


软件 和 数据 的 宿主 是 各 类 存储 介质 (磁盘 、 磁 带 、 光 盘 等 ) ,对 软件 的 访问 、 修 改 、 复 制 等 
都 需要 经 过 存储 介质 和 设备 ,国外 在 软件 安全 保护 技术 研究 中 的 一 个 重点 是 对 存储 介质 的 
安全 性 进行 研究 ,研究 领域 包括 了 存储 设备 的 可 靠 性 \ 存 储 设 备 ( 磁 盘 ) 的 加 密 解 密 、 存 储 设 
备 的 访问 控制 等 。 一 般 而 言 ,软件 存储 安全 的 基本 信息 如 下 。 

(1) 磁盘 组 织 结构 : 分 区 表 、 引 导 区 、 保 留 区 、 磁 盘 参 数 、 磁 盘 访 问 模式 。 

(2) 文件 系统 组 织 结构 : 文件 在 磁盘 上 的 存储 方式 ,文件 分 配 表 , 目 录 结 构 、 路 径 等 。 

(3) 软件 存储 方式 : 可 靠 存储 ,保密 存储 ,压缩 存储 ,备份 存储 。 

(4) 软件 存储 安全 : 防暴 露 程序 隐藏 ,程序 加 密 、 程 序 压缩 。 
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随 着 存储 技术 的 发 展 ,目前 存储 系统 发 展 方向 是 进行 存储 整合 .构建 虚拟 化 的 存储 系统 
以 及 自动 化 的 存储 维护 。 随 着 数据 整合 存储 整合 的 实施 ,数据 中 心 ( 一 般 由 SAN、NAS 和 
DAS 等 多 种 连接 方式 组 成 的 存储 系统 ) 聚 集 了 各 种 关键 数据 和 各 类 应 用 系统 。 如 何 确保 底 
层 存 储 系统 的 稳定 可 靠 运行 ,保证 数据 的 安全 性 ,提高 管理 的 效率 ,是 目前 和 下 一 阶段 数据 
管理 和 系统 管理 的 主要 目标 。 

如 果 把 上 述 功能 移植 到 网 络 上 , 便 是 基于 网 络 的 虚拟 化 一 一 这 种 虚拟 化 在 多 厂商 阵列 
之 间 建 立 了 一 个 存储 池 ,也 可 以 与 不 同 的 主机 平台 相连 ,对 主机 来 说 看 到 的 是 不 同 的 阵列 的 
统一 映像 ,从 而 实现 了 不 同 主机 和 存储 之 间 的 真正 的 互 连 和 共享 。 在 高 性 能 的 存储 域 网 络 
(SAN) 的 基础 上 , 即 在 物理 层 实现 基于 数据 块 的 虚拟 化 和 基于 文件 系统 的 虚拟 化 存储 
(SAN 上 的 统一 文件 系统 ) 。 

在 内 网 系统 中 数据 对 用 户 的 重要 性 越 来 越 大 ,实际 上 引起 电脑 数据 流失 或 被 损坏 、 算 改 
的 因素 已 经 远 超出 了 可 知 的 病毒 或 恶意 的 攻击 ,用 户 的 一 次 错误 操作 ,系统 的 一 次 意外 断 电 
以 及 其 他 一 些 更 有 针对 性 的 灾难 可 能 对 用 户 造成 的 损失 比 直接 的 病毒 和 黑客 攻击 还 要 大 。 
为 了 内 网 数据 的 安全 ,必须 对 重要 资料 进行 备份 ,以 防止 因为 各 种 软 硬 件 故 障 、 病 毒 的 侵袭 
和 黑客 的 破坏 等 原因 导致 系统 崩溃 ,进而 蒙受 重大 损失 。 

2. 存储 设备 (磁盘 ) 的 加 密 解 密 

存储 设备 的 加 密 /解密 技术 可 以 一 定 程度 上 保证 软件 存储 的 安全 。 下 面 介绍 几 个 磁盘 
加 /解密 的 例子 。 

(1) 修改 磁盘 分 区 表 信息 。 硬 盘 分 区 表 信 息 对 硬盘 的 启动 至 关 重要 ,如 果 找 不 到 有 效 
的 分 区 表 , 将 不 能 从 硬盘 启动 ,或 从 软盘 启动 也 找 不 到 硬盘 。 通 常 ,第 一 个 分 区 表 项 的 第 
0 字 节 为 80H ,表示 C 盘 为 活动 DOS 分 区 , 它 是 硬盘 能 否 自 举 的 关键 。 若 将 该 字 节 改 为 
00H ,系统 将 不 能 从 硬盘 启动 ,但 从 软盘 启动 后 ,硬盘 仍然 可 以 访问 。 分 区 表 的 第 4 字 节 是 
分 区 类 型 标志 ,第 一 分 区 的 此 处 通常 为 06H, 表 示 C 盘 为 活动 DOS 分 区 ,车 对 第 一 分 区 的 
此 处 进行 修改 可 对 硬盘 起 到 一 定 加 密 作用 。 

(2) 对 硬盘 启动 加 口令 。 通 常 ,在 CMOS 中 可 以 设置 系统 口令 ,使 非法 用 户 无 法 启动 
计算 机 ,当然 也 就 无 法 使 用 硬盘 。 但 这 并 未 真正 锁 住 硬盘 ,因为 只 要 将 硬盘 挂 在 别 的 计算 机 
上 ,硬盘 上 的 数据 和 软件 仍 可 使 用 。 要 对 硬盘 启动 加 口令 ,可 以 首先 将 硬盘 0 柱 面 0 磁头 1 
扇 区 的 主 引导 记录 和 分 区 信息 都 储存 在 硬盘 并 不 使 用 的 隐 含 扇 区 ,比如 0 柱 面 0 磁头 3 扇 
区 。 然 后 用 Debug 重 写 一 个 不 超过 512 字 节 的 程序 (实际 上 100 多 字 节 足够 ) 装 载 到 硬盘 0 
柱 面 0 磁头 1 扇 区 。 该 程序 的 功能 是 执行 它 时 首先 需要 输入 口令 ,车 口令 错误 则 进入 死 循 
环 ; 若 口令 正确 则 读 取 硬 盘 上 存 有 主 引 导 记 录 和 分 区 信息 的 隐 含 扇 区 (0 柱 面 0 磁头 3 扇 
区 ) ,并 转 去 执行 主 引导 记录 。 

由 于 硬盘 启动 时 首先 是 BIOS 调用 自 举 程序 INT 19H 将 主 硬盘 的 0 柱 面 0 磁头 1 肩 
区 的 主 引导 记录 读 和 内存 0000:7C00H 处 执行 ,而 此 处 内 容 已 经 被 人 为 更 改 ( 变 为 我 们 自己 
设计 的 程序 ) 。 这 样 从 硬盘 启动 时 ,首先 执行 的 不 是 主 引导 程序 ,而 是 我 们 设计 的 程序 。 在 
执行 设计 的 程序 时 ,口令 不 对 则 无 法 继续 执行 .系统 也 就 无 法 启动 。 即 使 从 软盘 启动 ,由 于 
0 柱 面 0 磁头 1 扇 区 不 再 有 分 区 信息 ,硬盘 也 不 能 被 访问 。 
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(3) 对 硬盘 实现 用 户 加 密 管 理 。UNIX 操作 系统 可 以 实现 多 用 户 管理 ,在 DOS 系统 
下 ,将 硬盘 管理 系统 进行 改进 ,也 可 实现 类 似 功能 的 多 用 户 管理 。 该 管理 系统 可 以 满足 这 样 
一 些 要求 。 

名 将 硬盘 分 为 公用 分 区 C 和 若干 专用 分 区 D。 其 中 “超级 用 户 ” 管 理 C 区 ,可 以 对 C 区 
进行 读 写 和 更 新 系统 ;“ 特 别 用 户 ”( 如 机 房 内 部 人 员 ) 通 过 口令 使 用 自己 的 分 区 ,以 保护 自 
己 的 文件 和 数据 ;“ 一 般 用 户 ”( 如 到 机 房 上 机 的 普通 人 员 ) 任 意 使 用 划 定 的 公用 分 区 。 后 两 
种 用 户 都 不 能 对 C 盘 进 行 写 操作 ,这 样 如 果 把 操作 系统 和 大 量 应 用 软件 装 在 C 盘 , 就 能 防 
止 在 公共 机 房 中 其 他 人 有 意 或 无 意 地 对 系统 和 软件 的 破坏 ,保证 了 系统 的 安全 性 和 稳定 性 。 

@ 在 系统 启动 时 ,需要 使 用 软盘 钥匙 盘 才 能 启动 系统 ,否则 硬盘 被 锁 住 ,不 能 被 使 用 。 
此 方法 可 通过 利用 硬盘 分 区 表 中 各 逻辑 盘 的 分 区 链表 结构 ,采用 汇编 编程 来 实现 。 

@ 对 某 个 逻辑 盘 实 现 写 保护 。 通 常 ,软盘 上 有 写 保护 缺口 ,在 对 软盘 进行 写 操作 前 ， 
BIOS 要 检查 软盘 状态 ,如 果 写 保护 缺口 被 封 住 , 则 不 能 进行 写 操作 。 而 写 保护 功能 对 硬盘 
而 言 ,在 硬件 上 无 法 进行 ,但 可 通过 软件 来 实现 。 

3. 存储 安全 中 的 其 他 因素 

存储 安全 中 的 其 他 因素 包括 人 、 电 源 和 克隆 技术 。 

(1) 人 : 在 各 种 安全 要 素 中 ,如 果 人 的 要 素 没 有 解决 好 ,也 同样 会 引发 意外 事故 。 用 户 
与 他 人 共享 认证 信息 是 一 种 常见 的 非常 恶意 案例 隐患 。 产 生 这 种 现象 的 原因 可 能 是 无 害 
的 ,但 它 所 带 来 的 结果 可 能 是 灾难 性 的 。 另 一 个 非常 实际 的 安全 问题 就 是 采用 人 工 的 方式 
执行 包括 配置 .更 新 .升级 和 测试 在 内 的 多 种 任务 。 因 此 ,通过 制定 可 靠 的 安全 规划 来 对 这 
些 人 工 操作 进行 控制 ,包括 制定 正式 的 修改 以 及 数据 备份 恢复 规程 。 

(2) 电源 : 电源 是 人 们 在 考虑 确保 存储 安全 时 经 常 被 忽视 的 一 个 环节 。 正 常情 况 下 ， 
需要 考虑 为 关键 用 户 提供 备份 电源 。 

(3) 克隆 技术 : 克隆 是 另 一 种 提高 数据 可 用 性 的 方法 。 由 于 数据 可 用 性 的 关键 之 一 就 
是 保护 数据 ,确保 数据 的 随时 可 用 ,而 克隆 技术 则 可 以 提供 完整 的 数据 复制 。 因 此 克隆 技术 
既 属 于 数据 可 用 性 技术 ,又 属于 数据 保护 技术 。 


12.1.3 软件 通信 安全 


1. 安全 传输 

安全 传输 应 注意 以 下 几 点 。 

(1) 操作 系统 的 安全 : 从 终端 用 户 的 程序 到 服务 器 应 用 服务 以 及 网 络 安全 的 很 多 技 
术 ,都 是 运行 在 操作 系统 上 的 ,因此 ,保证 操作 系统 的 安全 是 整个 系统 安全 的 根本 。 除 了 不 
断 增 加 安全 补丁 之 外 ,还 需要 建立 一 套 对 系统 的 监控 系统 ,并 建立 和 实施 有 效 的 用 户口 令 和 
访问 控制 等 机 制 。 

(2) 使 用 代理 网 关 : 使 用 代理 网 关 的 好 处 在 于 ,网 络 数据 包 的 交换 不 会 直接 在 内 外 网 
络 之 间 进 行 。 内 部 计算 机 必须 通过 代理 网 关 才能 访问 到 Internet, 这 样 操作 者 便 可 以 比较 
方便 地 在 代理 服务 器 上 对 内 外 网 络 访问 的 切换 进行 限制 。 通 过 在 代理 服务 器 两 端 采 用 不 同 
协议 标准 ,也 可 以 阻止 外 界 非法 访问 的 入 侵 。 此 外 ,代理 网 关 具 备 对 数据 封包 进行 验证 和 对 
密码 进行 确认 的 安全 管制 。 

(3) 设置 防火 墙 : 防火 墙 的 选择 应 该 适当 ,对 于 微小 型 的 企业 网 络 , 可 从 诸如 Norton 
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Internet Security、PCcillin、 天 网 个 人 防火 墙 等 产品 中 选择 适合 于 微小 型 企业 的 个 人 防火 
墙 。 而 对 于 具有 内 部 网 络 的 企业 来 说 , 则 可 选择 在 路 由 器 上 进行 相关 的 设置 或 者 购买 更 为 
强大 的 防火 墙 产 品 。 对 于 几乎 所 有 的 路 由 器 产品 而 言 , 都 可 以 通过 内 置 的 防火 墙 防范 部 分 
的 攻击 ,而 硬件 防火 墙 的 应 用 ,可 以 使 安全 性 得 到 进一步 加 强 。 

(4) 信息 保密 防范 : 为 了 保障 网 络 的 安全 ,也 可 以 利用 网 络 操作 系统 所 提供 的 保密 措 
施 。 以 Windows 为 例 ,进行 用 户 名 登录 注册 ,设置 登录 密码 ,设置 目录 和 文件 访问 权限 和 密 
码 , 以 控制 用 户 只 能 操作 什么 样 的 目录 和 文件 ,或 设置 用 户 级 访问 控制 ,以 及 通过 主机 访问 
Internet 等 。 同 时 ,可 以 加 强 对 数据 库 信 息 的 保密 防护 。 通 常 ,网 络 中 的 数据 组 织 形式 有 文 
件 和 数据 库 两 种 ; 由 于 文件 组 织 形式 的 数据 缺乏 共享 性 ,数据 库 现 已 成 为 网 络 存储 数据 的 
主要 形式 。 由 于 操作 系统 对 数据 库 没 有 特殊 的 保密 措施 ,而 数据 库 的 数据 以 可 读 的 形式 存 
储 其 中 ,所 以 数据 库 的 保密 也 要 采取 相应 的 方法 。 电 子 邮件 是 企业 传递 信息 的 主要 途径 , 电 
子 邮件 的 传递 应 进行 加 密 处 理 。 针 对 计算 机 及 其 外 部 设备 和 网 络 部 件 的 泄密 渠道 ,如 电磁 
泄露 非法 终端 \ 搭 线 窃取 、 介 质 的 剩 磁 效 应 等 ,也 可 以 采取 相应 的 保密 措施 。 

(5) 从 攻击 角度 入 手 : 目前 ,计算 机 网 络 系统 的 安全 威胁 有 很 大 一 部 分 来 自 拒绝 服务 
(DoS) 攻 击 和 计算 机 病毒 攻击 。 对 付 “ 拒 绝 服 务 ” 攻 击 有 效 的 方法 ,是 只 允许 跟 整 个 Web 站 
点 有 关 的 网 络 流量 进入 ,从 而 预防 此 类 的 黑客 攻击 ; 尤其 对 于 ICMP 封包 ,包括 ping 指令 
等 ,应 当 进 行 阻 绝 处 理 。 通 过 安装 非法 入 侵 侦 测 系 统 ,可 以 提升 防火 墙 的 性 能 ,达到 监控 网 
络 .执行 立即 拦截 动作 以 及 分 析 过 滤 封 包 和 内 容 的 动作 , 当 窃取 者 人 侵 时 可 以 立刻 有 效 终止 
服务 ,以便 有 效 地 预防 企业 机 密 信 息 被 窃取 。 同 时 应 限制 非法 用 户 对 网 络 的 访问 ,规定 具有 
IP 地 址 的 工作 站 对 本 地 网 络 设备 的 访问 权限 ,以 防止 从 外 界 对 网 络 设备 配置 的 非法 修改 。 

2. 加 密 传输 

用 户 数据 在 网 上 传输 ,必须 防止 用 户 数据 ,例如 投资 者 网 上 证 券 交 易 的 委托 数据 等 被 窃 
密 、 算 改 和 伪造 。 互 联网 上 软件 安全 传输 的 方法 主要 是 使 用 加 密 技术 ,比如 数字 签名 技术 、 
时 间 截 .数字 凭证 技术 等 。 其 中 ,最 常用 的 技术 为 安全 套 接 层 协议 (Secure-Sockets-Layer， 
SSL) 协 议 一 一 是 由 Netscape 公司 研究 制定 的 网 络 安全 协议 。SSL 协议 向 基于 TCP/IP 的 
客户 /服务 器 应 用 程序 提供 客户 端 和 服务 器 的 鉴别 、 数 据 完整 性 及 信息 机 密 性 等 安全 措施 ， 
可 在 服务 器 和 客户 端 同时 实现 安全 传输 支持 。SSL 目标 是 为 用 户 提 供 互联 网 和 企业 内 联 
网 的 安全 通信 服务 , 它 已 经 成 为 一 个 事实 的 工业 标准 。SSL 提供 以 下 三 种 基本 的 安全 服 
务 : 信息 加 密 、 信 息 完整 性 和 相互 认证 。 

3. 网 络 安全 下 载 

互联 网 是 一 个 神奇 的 世界 ,里 面 蕴 涵 的 信息 包罗 万 象 、 丰 富 多 彩 。 人 们 经 常会 碰 到 自己 
喜欢 的 东西 : 软件 .书籍 .电影 .音乐 等 ,这 个 时 候 理所当然 地 会 想到 下 载 。 但 是 ,因为 网 上 
资源 安全 的 不 可 确定 性 ,因此 为 了 确保 下 载 的 安全 ,必须 注意 两 点 : 一 是 下 载 前 的 安全 设 
置 , 二 是 下 载 后 的 安全 检查 。 

(1) 下 载 前 的 安全 设置 : 可 以 通过 对 下 载 工 具 的 有 关 属 性 的 设置 ,来 增强 下 载 的 安全 
性 。 在 常用 的 下 载 软件 FlashGet 和 网 络 蚂蚁 (NetAnts) 中 ,都 有 使 用 代理 服务 器 的 功能 。 
而 诸如 Download Mage 则 可 以 通过 在 下 载 前 预览 zip 文件 的 内 容 来 提高 下 载 内 容 的 安全 
性 。 同 时 ,下 载 中 要 注意 代理 服务 器 的 使 用 。 可 以 通过 代理 服务 器 隐藏 自己 的 IP 地 址 ,从 
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而 保障 主机 的 安全 。 

(2) 下 载 后 的 安全 检查 : 在 一 些 常 用 下 载 工 具 中 ,都 有 关于 文件 下 载 后 进行 病毒 检查 
的 设置 ,如 网 际 快车 和 网 络 蚂蚁 。 

4. 完整 下 载 

完整 下 载 主 要 指 的 是 下 载 的 完整 性 检验 。 软 件 可 以 用 于 检查 数据 是 否 被 臭 改 ,含有 错 
误 或 者 被 遗漏 。 此 类 技术 包括 一 致 性 检查 和 合理 性 检查 以 及 数据 输入 和 处 理 期 间 的 正确 性 
检查 。 这 些 技 术 在 数据 输入 和 处 理 时 检查 数据 值 是 否 同 预期 值 或 取 值 范围 相 吻 合 ,或 对 数 
据 值 之 间 的 预期 关系 进行 检查 。 一 般 完整 性 检验 包含 一 系列 重要 步 又 从 而 发 现 有 意 或 者 无 
意 文件 更 改 。 最 为 常见 的 是 MD5(message-digest algorithm 5) 文 件 校 验 法 , 它 被 广泛 用 于 
加 密 和 解密 技术 ,可 以 说 是 文件 的 “数字 指纹 ”。 任 何 一 个 文件 ,无 论 是 可 执行 程序 、 图 像 文 
件 ,临时 文件 或 者 其 他 任何 类 型 的 文件 ,也 不 管 它 体 积 多 大 ,都 有 且 只 有 一 个 独一无二 的 
MD5 信息 值 , 并 且 如 果 这 个 文件 被 修改 过 , 它 的 MD5 值 也 将 随 之 改变 。 因 此 ,可 以 通过 对 
比 同一 文件 的 MD5 值 ,来 校 验 这 个 文件 是 否 被 “ 算 改 ”过 ,或 相 比 最 初 这 个 文件 是 否 完整 。 
12.1.4 软件 运行 安全 

一 个 程序 要 运行 ,必须 要 有 环境 ,一 旦 您 知道 了 身 处 什么 环境 ,就 可 以 确定 您 的 安全 性 
目标 。 软 件 系统 运行 时 需要 各 种 支持 要 素 ,包括 : 支持 硬件 操作 系统 、 其 他 支持 软件 .输入 
数据 格式 和 范围 以 及 操作 规程 等 。 不 同 的 环境 条 件 下 ,软件 的 可 靠 性 是 不 同 的 。 具 体 地 说 ， 
规定 的 环境 条 件 主 要 是 描述 软件 系统 运行 时 计算 机 的 配置 情况 以 及 对 输入 数据 的 要 求 , 并 
假定 其 他 一 切 因 素 都 是 理想 的 。 有 了 明确 规定 的 环境 条 件 , 软 件 的 运行 才 更 可 靠 。 

对 于 Von Numan 存储 程序 式 计 算 机 来 说 ,运行 环境 包括 : 程序 代码 (指令 ) 有 地 方 存 
放 , 处 理 器 能 够 从 这 里 取得 ,指令 能 够 按照 顺序 执行 ,而 且 程序 和 数据 要 求 完 整 。 

1. 软件 运行 正确 性 

计算 机 系统 的 安全 有 赖 于 在 其 上 运行 的 软件 操作 的 无 错 , 即 软件 既 要 确保 能 够 正常 运 
行 ,还 应 具有 非常 高 的 运行 正确 性 ,在 执行 时 其 功能 不 应 出 现 差错 ,一 旦 出 现 差错 , 则 要 有 出 
错 处 理 能 力 和 容错 能 力 。 此 外 ,还 应 当 要 求 软件 在 运行 过 程 中 ,不 能 破坏 别 的 运行 软件 ,也 
不 允许 别 的 软件 来 破坏 自己 。 

2. 输入 的 可 信和 性 认证 

在 几乎 所 有 安全 的 程序 中 ,第 一 道 防线 就 是 检查 程序 所 接收 到 的 每 一 条 数据 。 如 果 能 
不 让 恶意 的 数据 进入 程序 ,或 者 至 少 不 在 程序 中 处 理 它 ,那么 程序 在 面 对 攻 击 时 将 更 加 健 
壮 。 这 与 防火 墙 保 护 计 算 机 的 原理 很 类 似 : 它 不 能 预防 所 有 的 攻击 ,但 它 可 以 让 一 个 程序 
更 加 稳定 。 这 个 过 程 叫做 输入 的 检查 、 验 证 或 者 过 滤 ,确保 输入 可 信 的 最 重要 的 规则 是 所 有 
的 数据 必须 在 使 用 之 前 被 检查 。 

(1) 限制 程序 暴露 的 部 分 。 如 果 程 序 分 为 若干 块 ,应 该 尽量 设计 得 让 攻击 者 不 能 与 大 
多 数 块 通信 。 这 包括 不 能 让 他 们 利用 各 块 之 间 的 通信 路 径 。 对 有 些 较 难 控制 的 情况 ,比如 ， 
当 程 序 块 之 间 使 用 网 络 通信 时 , 则 可 以 使 用 加 密 等 机 制 来 确保 运行 安全 。 

(2) 限制 暴露 部 分 所 允许 的 输入 类 型 。 可 以 修改 设计 ,从 而 只 接受 少数 的 输入 。 

(3) 严格 检查 不 可 信 的 输入 。 真 正 “ 安 全 ”的 程序 应 该 没有 任何 输入 ,但 这 只 是 一 种 理 
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想 情 况 。 因 而 ,需要 对 来 自 不 可 信 源 的 输入 路 径 的 数据 进行 严格 的 检查 。 通 常 的 做 法 是 至 
少 检查 所 有 的 数据 一 次 ,并 且 至 少 在 数据 第 一 次 进入 时 进行 一 次 检查 。 

3. 运行 日 期 和 时 间 

日 期 和 时 间 是 计算 机 内 常用 的 定时 基础 ,在 计算 机 内 常 称 为 时 钟 ,系统 具有 三 种 时 钟 概 
念 , 即 : 四 系统 时 钟 (system clock) ,控制 中 央 处 理 器 和 其 他 逻辑 器 件 和 部 件 工作 的 时 钟 ; 
加 实时 时 钟 (realtime clock) ,根据 实时 事件 和 定时 方式 完成 各 种 控制 操作 的 定时 时 钟 
@ 日 历时 钟 (calendar clock) ,一 种 与 日 历 日 期 和 时 钟 同 步 的 工作 时 钟 。 后 一 种 时 钟 记录 了 
计算 机 工作 的 日 期 和 时 间 , 记 录 下 了 文件 和 数据 存 取 、 注 册 登 录 操 作 、 传 输 接收 的 日 期 和 时 
间 , 某 些 软件 (如 金融 银行、 统计、 交易 .气象 .商务 .军事 等 ) 对 日 期 和 时 间 非 常 敏感 ,对 日 期 
和 时 间 具 有 很 大 的 依赖 性 。 比 如 ,最 引起 人 们 注意 的 Y2K 问题 和 9999 问题 。 

1) Y2K 问题 

2000 年 1 月 1 日 标志 着 一 个 新 世纪 的 开始 , 记 年 的 数字 从 1999 增加 到 了 2000。 然 而 ， 
就 是 这 个 数字 的 变动 ,在 全 世界 引起 了 一 场 轩然大波 。 一 时 间 ,“2000 年 问题 *“Y2K” 问 
题 “ 千 年 虫 "问题 喧闹 得 不 可 开交 。 实 际 上 ,这 个 问题 的 起 因 早 至 20 世纪 60 年 代 。 当 初 计 
算 机 程序 设计 人 员 为 节省 存储 空间 ,将 日 期 的 年 份 设 定 仅仅 采用 了 两 位 字符 ,默认 年 份 的 开头 
两 个 数字 总 是 19, 即 1998 年 被 简 记 为 98。 而 在 读 出 年 份 时 ,又 自动 地 在 其 前 面 加 上 数字 19。 
而 当时 的 几乎 所 有 计算 机 系统 沿袭 了 这 种 简化 日 期 记录 、 表 达 和 计算 方式 。 因 此 ,2000 年 
在 已 有 系统 中 只 能 输入 和 记录 为 00, 读 出 和 计算 时 自动 加 上 19 会 成 为 1900, 使 2000 年 和 
1900 年 没有 区 别 。 这 种 错误 表达 ,尤其 是 在 计算 中 将 会 引起 严重 的 后 果 , 它 可 能 引发 金融 
混乱 、 统 计 错 误 、 交 易 失 效 , 甚 至 整个 计算 机 系统 和 信息 系统 崩溃 。 

Y2K 的 主要 敏感 日 期 是 1999 年 12 月 31 日 一 2000 年 1 月 1 日 .2000 年 2 月 28 一 29 日 、 
2 月 29 日 一 3 月 1 日 .2000 年 10 月 10 日 .2001 年 1 月 1 日 和 2001 年 12 月 31 日。 硬件 
2000 年 问题 关键 所 在 是 电脑 主板 上 的 实时 时 钟 电路 (RTC)。 通 常用 的 RTC 芯片 (如 
MC146818) 只 表示 四 位 年 份 值 的 后 两 位 数 ,而 前 两 位 世纪 位 *19” 单 独 固 定 存 放 在 CMOS 
中 。 在 电脑 启动 时 ,将 RTC 时 钟 的 年 份 和 CMOS 中 的 世纪 位 合并 起 来 ,形成 四 位 日 期 传递 
到 BIOS 中 。 由 此 产生 了 2000 年 变 为 1900 年 的 2000 年 问题 。 计 算 机 硬件 BIOS 千年 虫 问 
题解 决 方案 很 多 ,常用 的 是 BIOS 升级 法 、 补 丁 程序 法 和 硬件 插 卡 法 等 。 第 一 种 方法 有 很 大 
的 风险 ,针对 不 同 机 器 的 BIOS 升级 ,很 有 可 能 造成 原 BIOS 芯片 被 坏 ,从 而 使 系统 无 法 正常 
工作 。 实 际 实施 时 会 遇 到 很 多 问题 ,所 以 几乎 所 有 厂商 申明 不 承担 “升级 BIOS? 造 成 系统 崩 
溃 的 责任 。 补 丁 程 序 是 一 种 较 好 的 办 法 ,此 类 软件 有 fix2000. sys 或 畅行 2000。 用 户 只 要 
在 电脑 的 CONFIG. SYS 文件 中 加 入 DEVICE 二 FIX2000. SYS 一 行 , 即 可 做 到 “ 查 虫 、 灭 
虫 ”。 硬 件 插 卡 有 2000 世纪 卡 、 求 真 2000 卡 和 Smart2000 等 。 

2) 9999 问题 

另 一 个 与 计算 机 日 期 时 间 有 关 的 错误 问题 是 所 谓 的 9999 问题 ,这 是 旧 计 算 机 系统 软件 
设计 中 的 一 个 隐患 。 以 前 的 计算 机 程序 设计 员 通 常 将 1999 年 9 月 9 日 定 为 软件 的 运行 时 
限 , 当 这 些 软 件 到 达 终 止 日 期 时 ,计算 机 中 的 日 期 和 时 间 99/9/9 会 改变 成 10/10/10 或 者 
00/00/00, 从 而 将 软件 “ 锁 ” 死 ,出 现 死机 ,导致 大 量 数据 丢失 和 系统 崩 演 。 因 此 ,在 系统 软件 
中 防止 这 样 一 种 隐患 也 是 势 在 必 行 的 。 
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4. 软件 补丁 

给 软件 打 “ 补 丁 ”是 一 种 软件 错误 补偿 方法 ,用 于 正规 软件 已 经 发 布 ,在 实际 运行 中 发 现 
了 原来 测试 之 前 未 发 现 的 问题 。 但 是 版 本 已 无 法 修改 ,因此 ,只 能 采取 用 另 一 种 外 部 程序 的 
方式 来 弥补 这 种 不 足 或 改正 这 种 错误 ,使 软件 能 够 正常 运行 。 很 多 大 型 软件 ,包括 微软 的 操 
作 系 统 , 如 Windows、Win NT、IE、Office 等 几乎 都 具有 补丁 程序 。 这 是 不 奇怪 的 ,因为 一 
个 大 型 软件 ,尤其 是 具有 并 发 .并行 机 制 的 大 型 系统 软件 ,不 可 能 百分之百 严密 和 正确 ,只 能 
证 明 其 可 用 、 可 信 。 

例如 ,补丁 程序 范例 : 解决 IE 浏览 器 中 Cuartango 安全 漏洞 的 补丁 程序 。Guartango 
漏洞 使 用 户 文件 在 Web 站 点 经 营 者 和 电子 函件 发 送 者 前 暴露 无 遗 。 通 过 开发 脚本 应 用 程 
序 , 攻 击 者 可 以 利用 浏览 Web 站 点 机 会 ,或 向 用 户 发 送 基 于 HTML 的 电子 函件 ,从 网 络 或 
者 硬盘 上 盗 取 文件 。 在 无 法 获得 补丁 程序 时 ,可 以 简单 关闭 IE 的 启动 活动 脚本 选项 ,以 避 
免 可 能 的 入 侵 。 补 丁 程序 可 从 微软 站 点 (Chttp://www. microsoft. com/windows/ie/ 
security/paste. htm) 下 载 。 


12.2 软件 安全 保护 机 制 


软件 作为 一 种 知识 密集 的 商品 化 产品 ,在 开发 过 程 中 需要 大 量 的 人 力 ,为 开发 程序 而 付 
出 的 成 本 往往 是 硬件 价值 的 数 倍 乃 至 数 百 倍 。 然 而 ,软件 具有 易于 复制 和 便于 携带 的 特性 ; 
同时 ,由 于 社会 、 法 律 为 软件 产品 提供 的 保护 不 充分 ,迫使 一 些 软 件 公司 和 开发 人 员 采 取 了 
自卫 手段 ,从 而 出 现 了 软件 保护 技术 。 

软件 保护 需要 研究 多 种 软件 保护 技术 和 机 制 ,保持 软件 的 完整 性 及 黑 盒 功能 特点 ,防止 
软件 的 非法 移植 .盗用 ,运行 .复制 ,防止 对 系统 安全 有 关 的 软件 的 功能 的 破解 。 软 件 保护 早 
期 致力 于 软件 加 密 ,研究 软件 的 加 密 和 解密 技术 、 密 文 技术 、 软 件 的 压缩 与 还 原 技 术 、 固 化 与 
存 取 技 术 ,运行 安全 技术 〈 仿 硬件 运行 控制 机 制 )\ 软 件 的 反 跟 踪 与 反 破 析 技 术 、 软 件 自身 保 
护 技术 和 软件 访问 控制 技术 。 任 何 一 个 软件 保护 系统 都 并 非 不 可 攻破 的 ,但 是 ,一 个 好 的 软 
件 保护 系统 会 使 攻击 者 付出 很 大 的 代价 ,直至 放弃 对 软件 的 非法 获取 。 软 件 保护 主要 解决 
四 个 问题 , 即 软件 的 防 复 制 . 防 执行 、 防 自 改 、 防 暴露 ,各 种 安全 技术 和 机 制 在 实施 中 贯穿 
始终 。 


12.2.1 软件 防 复制 (存储 访问 技术 ) 


计算 机 软件 极 易 被 复制 ,软件 保护 目的 之 一 是 防止 软件 的 非法 复制 。 由 于 软件 是 存储 
在 存储 设备 和 载体 中 的 ,保护 和 阻止 存储 载体 的 操作 是 防止 复制 的 简单 方法 。 软 件 防 复制 
技术 是 计算 机 数据 安全 的 研究 领域 之 一 ,数据 的 存储 介质 是 各 种 物理 的 可 存储 和 记录 的 设 
备 与 器 件 。 目 前 ,最 主要 的 存储 设备 是 磁盘 ,此 外 ,还 有 磁带 .光盘 等 ,它们 既是 信息 的 载体 ， 
也 是 信息 传递 的 媒介 。 这 些 存 储 设 备 上 的 信息 是 由 程序 、 文 件 和 数据 构成 的 ,而 这 些 程 序 、 
文件 和 数据 是 有 价 的 、 有 特殊 用 途 的 ,有 的 是 专用 的 、 未 经 授权 不 能 公开 和 使 用 的 。 由 于 存 
储 介 质 的 可 复制 性 和 可 交换 性 ,这 些 程序 文件 和 数据 就 可 能 被 复制 盗窃、 出 卖 ,甚至 滥用 。 

1. 磁盘 加 密 


软件 防 复制 技术 的 重点 在 于 存储 介质 的 安全 机 制 与 其 上 的 程序 数据 和 文件 的 防 复制 。 
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磁盘 ( 含 其 他 存储 介质 ) 的 加 解密 技术 是 防 复制 的 关键 技术 之 一 ,由 于 磁盘 的 可 加 密 性 和 可 
破解 性 ,使 得 磁盘 的 复制 和 反复 制 成 为 可 能 。 所 以 ,首先 要 研究 磁盘 ( 含 其 他 存储 介质 ) 的 
结构 和 特殊 性 。 磁 盘 本 身 是 无 特殊 性 的 ,只 是 由 于 人 们 在 盘 体 上 做 出 了 物理 的 或 者 逻辑 的 
标记 ,作为 磁盘 的 “指纹 ” ,使 得 磁盘 本 身 可 以 被 识别 ,成 为 防 复制 的 标记 。 通 过 专门 的 识别 
程序 ,可 以 分 辩 和 识别 是 原 盘 还 是 复制 盘 。 这 种 标记 识别 型 磁盘 防 复制 技术 的 关键 在 于 * 标 
记 ” 的 不 可 复制 性 ,否则 , 防 复制 是 没有 意义 的 。 

用 磁盘 加 密 方 式 阻止 软件 复制 是 软件 商 常用 的 方法 ,此 项 技术 的 研究 可 包括 盘 区 部 分 
加 密 、 相 关 磁 道 加 密 、 磁 盘 关 闭 和 锁定 、 扇 区 锁定 ,专门 复制 程序 .软件 复制 标记 和 复制 权限 
等 。 可 以 采用 激光 加 密 .指纹 加 密 , 非 正常 磁道 加 密 、 磁 隙 加 密 等 。 这 些 方法 简单 易 行 、 价 格 
低廉 ,但 使 用 不 便 ,因为 系统 必须 识别 是 正常 读 写 .复制 还 是 非法 读 写 、. 复 制 , 甚 至 合法 用 户 
也 不 能 作 备份 ,存储 设备 由 于 频繁 读 写 容易 损坏 。 而 且 ,采用 专门 的 软件 仍然 可 以 复制 这 种 
特殊 的 磁盘 。 整 个 软盘 复制 ,尤其 是 钥匙 盘 的 复制 ,是 防护 的 重点 。 防 复制 标记 可 以 采用 数 
字 水 纹 来 确保 其 不 可 复制 性 。 

例如 ,磁盘 加 密 的 应 用 技术 (以 主流 微机 为 例 ) 有 很 多 种 ,如 额外 磁道 加 密 、 磁 道 扇 区 乱 
序 、.CRC 校 验 加 密 、 物 理 标记 加 密 、 磁 盘 穿 孔 .激光 .电磁 、 掩 膜 加 密 、 磁 道 接 颖 与 扇 区 间隙 加 

例如 使 用 激光 穿孔 法 实现 软件 防 复制 这 种 方法 主要 利用 程序 设计 中 的 “陷阱 技术 ”来 实 
现 。 基 本 原理 : 在 软盘 表面 穿孔 ,使 部 分 扇 区 遭 到 物理 破坏 (无 法 用 工具 软件 修复 )。 设 计 
者 在 开发 软件 以 前 ,用 通用 的 检测 工具 对 磁盘 表面 全 面 扫描 ,找到 并 记录 已 被 损坏 的 扇 区 。 
以 后 ,通过 软件 判断 这 些 记 录 扇 区 是 否 损坏 就 能 判断 软件 是 否 已 被 复制 。 对 于 生产 少量 的 
软件 产品 而 言 , 这 种 方法 不 失 为 一 种 经 济 有 效 的 加 密 方法 ,但 是 如 果 大 量 生 产 , 这 种 方法 就 
变 得 更 加 繁杂 : 每 次 穿孔 的 位 置 不 一 定 一 样 ,软件 所 要 判断 的 扇 区 编号 也 不 一 样 , 实 现 相 当 
困难 。 

例如 特殊 磁道 防 复制 加 密 技 术 ,这 种 技术 实现 简单 ,能够 很 好 地 对 软件 起 到 加 密 作用 。 
在 此 仅 对 软盘 进行 讨论 。 磁 盘 的 一 个 扇 区 由 标识 区 和 数据 区 以 及 两 个 间 院 组成, 一些 磁道 
( 柱 面 ) 的 ID 信息 被 保存 在 非 数 据 区 中 。 在 DOS 系统 启动 的 时 候 , 软 盘 磁 盘 基 数 表 被 装载 
到 起 始 地址 为 0000:0525 的 内 存单 元 中 ,INT 13H 的 许多 操作 都 是 根据 这 一 基数 表 来 确定 
扇 区 大 小 的 。 只 要 修改 磁盘 基数 表 , 再 用 普通 的 INT 13H 来 操作 磁盘 ,就 能 很 容易 将 软件 
密 钥 写 到 磁盘 扇 区 间隙 处 。 一 般 情 况 下 ,对 于 这 种 特殊 扇 区 ,磁盘 控制 器 无 法 在 磁盘 上 写 
出 ,这 样 ,一般 的 复制 程序 也 就 无 法 将 其 复制 ,但 在 被 加 密 的 软件 程序 中 可 以 将 间隙 处 的 密 
钥 作 为 特殊 扇 区 的 一 部 分 读 出 ,判断 密 钥 信息 就 可 以 确定 软件 是 否 已 被 复制 。 对 特殊 磁道 
加 密 的 实现 原理 : INT 13H AH=05H 功能 是 根据 BX 所 指向 的 内 存单 元 的 参数 来 对 磁盘 
进行 格式 化 的 。 每 个 扇 区 都 有 一 个 ID ,由 柱 面 号 、 磁 头号 和 扇 区 字 节 长 度 组 成 ,因此 只 要 修 
改 ID 参数 ,并 用 这 种 参数 格式 化 磁盘 ,就 会 产生 特殊 磁道 。 剩 下 的 工作 和 对 特殊 扇 区 的 操 
作 相同 : 将 密 钥 写 人 特殊 磁道 , 即 可 实现 软件 防 复制 。 

2. 不 完整 软件 技术 

不 完整 软件 技术 在 应 用 中 也 称 为 程序 分 块 技术 ,如 程序 覆盖 与 交换 、 转 储 等 。 覆 盖 与 交 
换 : 程序 运行 时 不 全 部 调 人 内存, 而 采用 运行 一 部 分 ,再 调和 人 一 部 分 的 办 法 。 防 止 窃取 者 利 
用 内 存 映像 对 程序 进行 窃取 。 同 时 ,也 缩小 了 可 执行 程序 段 ,而 以 覆盖 或 压缩 文件 方式 保存 
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另外 的 可 执行 段 。 覆 盖 与 交换 技术 是 在 多 道 环 境 下 用 来 扩充 内 存 的 两 种 方法 。 下 面 主要 介 
绍 覆 盖 与 交换 的 基本 思想 。 

1) 覆盖 

覆盖 (overlay) 的 目标 是 在 较 小 的 可 用 内 存 中 运行 较 大 的 程序 。 常 用 于 多 道 程序 系统 ， 
与 分 区 存储 管理 配合 使 用 。 原 理 : 一 个 程序 的 几 个 代码 段 或 数据 段 ,按照 时 间 先 后 来 占用 
公共 的 内 存 空间 。 将 程序 的 必要 部 分 (常用 功能 ) 的 代码 和 数据 常 驻 内 存 ; 可 选 部 分 (不 常 
用 功能 ) 在 其 他 程序 模块 中 实现 ,平时 存放 在 外 存 中 (覆盖 文件 ) ,在 需要 用 到 时 才 装 和 人 内存; 
不 存在 调用 关系 的 模块 不 必 同 时 装 和 人 内存, 从 而 可 以 相互 覆盖 ( 见 图 12-1) 。 


i Total: 190KB Ri Total:110KB 

Overlay 0 
B 候 verlay 
S50KB 30KB > 50KB 

FF D E Overlay 1 
30KB 20KB 40KB 一 一 了 

图 12-1 覆盖 技术 
缺点 : 编程 时 必须 划分 程序 模块 和 确定 程序 模块 之 间 的 覆盖 关系 ,增加 编程 复杂 度 。 


从 外 存 装 人 覆盖 文件 ,以 时 间 延 长 来 换取 空间 节省 。 从 实现 的 角度 : 函数 库 ( 操 作 系统 对 覆 
盖 不 得 知 ) ,或 操作 系统 支持 。 

2) 交换 

交换 (swapping) 是 指 多 个 程序 并 发 执行 ,可 以 将 暂时 不 能 执行 的 程序 送 到 外 存 中 ,从 
而 获得 空闲 内 存 空 间 来 装 人 新 程序 ,或 读 人 保存 在 外 存 中 而 目前 到 达 就 绪 状 态 的 程序 。 原 
理 : 暂停 执行 内 存 中 的 进程 ,将 整个 进程 的 地 址 空间 保存 到 外 存 的 交换 区 中 ( 换 出 (swap 
out)) ,而 将 外 存 中 由 阻塞 变 为 就 绪 的 进程 的 地 址 空间 读 和 内存, 并 将 该 进程 送 到 就 绪 队 列 
( 换 入 (swap in) ) 。 

其 优点 是 ,增加 并 发 运行 的 程序 数目 ,并 且 给 用 户 提供 适当 的 响应 时 间 ; 编写 程序 时 不 
影响 程序 结构 。 缺 点 是 ,对 换 入 和 换 出 的 控制 增加 处 理 机 开销 ; 程序 整个 地 址 空间 都 进行 
传送 ,没有 考虑 执行 过 程 中 地 址 访问 的 统计 特性 。 应 该 考虑 的 问题 : 程序 换 入 时 的 重 定位 ; 
减少 交换 中 传送 的 信息 量 ,特别 是 对 大 程序 。 

3) 转 储 

在 内 存 不 同 的 空间 内 存放 程序 ,然后 再 映射 到 可 执行 区 。 使 用 内 存 转 储 技术 ,可 以 在 软 
件 遇 到 重大 问题 时 ,系统 首先 把 内 存 中 的 数据 保存 到 一 个 转 储 文件 中 ,然后 再 重新 启动 ,而 
软件 管理 员 就 可 以 通过 分 析 转 储 文件 了 解 系统 的 故障 。 

有 一 些 常 用 的 内 存 转 储 技术 。 

(1)“ 小 内 存 转 储 ? 记 录 帮 助 标识 问题 的 最 少 信息 。 该 选项 需要 计算 机 的 启动 卷 上 有 一 
个 至 少 2MB 的 页 面 文件 ,并 指定 在 每 次 系统 意外 终止 时 Windows 都 将 创建 新 的 文件 。 这 
些 文件 的 历史 记录 列 在 “小 内 存 转 储 ” 下 。 

(2)“ 核 心 内 存 转 储 ” 只 记录 内 核 内 存 , 该 选项 在 系统 出 现 意 外 STOP 错误 时 加 速 将 信 
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息 记 录 到 日 志文 件 的 过 程 。 随 计算 机 物理 内 存 的 不 同 , 可 能 需要 在 启动 卷 上 为 页 面 文件 提 
供 50MB 到 800MB 的 可 用 空间 。 文 件 存储 在 “ 转 储 文件 ”下 面 列 出 的 目录 中 。 

(3)“ 完 全 内 存 转 储 ” 在 系统 出 现 意外 STOP 错误 时 记录 整个 系统 内 存 的 内 容 。 如 果 选 
中 了 该 选项 , 则 必须 使 系统 分 区 上 的 页 面 文件 足够 大 ,以 便 容纳 所 有 的 物理 内 存 数据 ,另外 
附加 1MB 的 空间 。 文 件 存储 在 “ 转 储 文件 ”下 面 列 出 的 目录 中 。 

例 : Windows 2000/XP 中 使 用 的 内 存 转 储 技术 。 

禁止 Windows 创建 转 储 文件 的 步骤 如 下 : 打开 “控制 面板 ”>“ 系 统 ”, 找 到 “高 级 ”, 然 
后 单 击 “ 启 动 和 故障 恢复 ”下 面 的 “设置 ”按钮 ,将 “ 写 入 调试 信息 ”这 一 栏 设 置 成 “(无 )”。 类 
似 于 转 储 文件 ,Dr. Watson 也 会 在 应 用 程序 出 错时 保存 调试 信息 。 禁 用 Dr. Watson 的 步骤 
是 : 在 注册 表 中 找到 HKEY_local_machine\software\Microsoft\ WindowsNT\CurrentVersion\ 
AeDebug ,把 Auto 值 改 成 “0”。 然 后 在 Windows 资源 管理 器 中 打开 Documents and 
Settings\All Users\Shared Documents\DrWatson, 删 除 User. dmp 和 Drwtsn32. log 这 两 
个 文件 。 

例 : 软件 安装 过 程 中 典型 的 替换 实例 。 

在 安装 软件 时 ,软件 检测 到 需要 写 入 的 DLL 或 其 他 程序 文件 正在 使 用 时 ,会 把 要 写 入 
的 DLL 文件 先 定 一 个 临时 的 文件 名 ,然后 在 WINDOWS 目录 中 往 WININIT. INI 写 和 人 一 
个 改写 项 。 比 如 ,一 个 叫 ABCD. DLL 的 动态 链接 库 现 在 正在 使 用 中 ,而 安装 程序 要 往 系统 
中 写 入 新 版 本 的 ABCD. DLL, 这 时 安装 程序 会 把 新 版 本 ABCD. DLL 先 定 一 个 临时 文件 
名 ,例如 AAAA.LLL, 然 后 在 WININIT. INI 中 的 [rename] 一 节 中 写 入 这 一 项 : C:\windows\ 
systemNabcd. dll 二 C:\windows\system\aaaa. ll。 在 重启 时 ,进入 Windows 图 形 界面 之 前 ， 
WININIT. EXE 在 检测 到 WINDOWS 目录 中 有 WININIT. INI 存在 时 ,就 执行 里 面 的 操 
作 。 在 上 面 的 例子 中 ,是 用 C:\windows\system\aaaa. ll 去 替换 掉 C:\windows\system\ 
abcd. dll 这 个 文件 ,并 且 把 WININIT. INI 改名 为 WININIT. BAK。 

3. 软件 安装 机 制 

可 以 通过 某 些 安装 参数 的 限制 来 实现 软件 的 防 复 制 。 

(1) 安装 次 数 : 限定 软件 使 用 ,规定 软件 版 本 安装 ,限制 软件 复制 和 备份 次 数 。 

(2) 安装 时 间 : 限定 软件 使 用 时 效 , 便 于 软件 更 新 ,防止 软件 复制 和 无 限制 使 用 运行 。 

(3) 安装 标记 : 每 安装 一 次 系统 ,进行 一 次 记录 , 设 定 值 超过 规定 值 ,拒绝 安装 。 

(4) 用 户 登 记 : 软件 采用 用 户 登 记 制 ,只 有 用 户 ID 才能 安装 或 者 运行 系统 。 

(5) 软件 序列 号 : 采用 软件 序列 号 安装 软件 ,系统 更 新 和 升级 也 同样 需要 序列 号 。 

(6) 口令 : 利用 口令 机 制 限制 软件 的 安装 和 使 用 。 

单一 的 软件 防 复制 技术 具有 一 定 的 局 限 性 ,在 实际 应 用 中 ,多 采用 综合 防 复制 技术 。 综 
合 性 软件 防 复制 技术 将 磁盘 ( 含 其 他 存储 介质 ) 防 复制 技术 与 软件 单一 防 复制 技术 结合 , 形 
成 带 有 智能 型 的 防 复制 技术 ,使 软件 的 复制 和 盗窃 难以 进行 。 这 些 技术 结合 了 软件 和 数据 
的 密 文 技术 、 反 跟踪 技术 和 自 毁 技术 。 

随 着 软件 功能 的 增强 ,软件 规模 和 尺寸 增 大 ,程序 和 数据 在 存储 设备 中 占据 很 大 的 存储 
空间 ,商品 软件 和 备份 软件 逐渐 采用 光盘 方式 提供 。 大 型 程序 利用 一 般 软盘 是 无 法 复制 的 ， 
于 是 有 了 硬盘 偷窃 。 
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12.2.2 软件 防 执行 (运行 控制 技术 ) 


软件 保护 的 另 一 方法 是 使 非法 使 用 者 不 能 正常 使 用 软件 , 当 非 法 复制 的 软件 开始 执行 
时 ,采用 各 种 方式 阻止 程序 运行 ,这 就 是 软件 运行 控制 技术 。 众 所 周知 ,程序 的 执行 依赖 于 
系统 硬件 部 件 , 只 有 相应 的 硬件 存在 ,软件 的 正常 功能 才能 正常 地 执行 。 阻 止 执行 的 优点 在 
于 软件 加 密 可 靠 ,合法 备份 不 受 限制 ,而 非法 用 户 即 使 能 够 得 到 复制 软件 ,也 不 能 使 用 软件 。 
用 于 阻止 软件 执行 的 硬件 控制 机 制 有 “软件 狗 ”、 运 行 加 密 卡 等 。 
1. 软件 狗 与 软件 锁 
“软件 狗 ” 是 安装 在 计算 机 并 行 口上 的 一 个 硬件 部 件 , 作 为 一 种 硬件 “钥匙 ”, 被 保护 的 软 
件 中 设置 了 许多 判定 和 计算 机 制 , 称 为 “软件 锁 ”, 当 钥匙 与 锁 相 配合 时 ,软件 才能 正常 运行 。 
目前 ,软件 狗 可 分 为 USB 狗 与 微 狗 ，USB 狗 插 在 计算 机 的 USB 口上 使 用 ; 而 微 狗 插 在 计 
算 机 的 并 行 口上 , 两 种 使 用 的 是 相同 的 接口 模块 。 微 狗 由 于 是 插 在 并 行 口 上 ,而 计算 机 的 
并 行 口 只 有 一 个 , 而 一 般 都 会 连接 打印 机 , 容易 与 打印 机 引起 冲突 ; 而 USB 是 专门 为 多 设 
备 连 接 而 设计 的 , 有 着 严格 的 规范 ,从 接口 本 身 就 避免 了 设备 间 的 冲突 。 
1) 软件 狗 的 保护 机 制 
软件 狗 保护 机 制 是 利用 软件 锁 和 硬件 钥匙 相配 合 完成 的 。 
软件 程序 ， 硬件 部 件 
OO 读 写 数据 一 一 一 存储 区 
y 
@ 判定 数据 一 一 一 @ 获 得 数据 
一 一 是 : 正常 运行 
一 一 否 : 出 错 处 理 
可 见 , 硬 件 部 件 内 部 存储 的 数据 和 对 数据 进行 判定 的 机 制 是 保护 软件 运行 的 关键 。 软 
件 锁 由 三 部 分 组 成 , 即 发 送 数据 .接收 数据 和 判断 决策 。 软 件 狗 中 的 数据 可 以 由 用 户 程序 任 
意 写 人 ,存储 器 可 以 多 次 写 入 并 长 期 保存 。 读 写 程序 针对 各 种 高 低级 编程 语言 采用 接口 函 
数 来 构建 软件 锁 。 软 件 狗 内 部 有 一 个 存储 区 域 (从 几 十 字 节 到 100 字 节 ), 用 户 程序 可 以 对 
这 个 存储 区 进行 读 写 操作 ,这 个 存储 区 掉 电 后 可 以 保持 存储 数据 ,时 间 可 长 达 10 年 。 这 个 
内 部 存储 区 域 也 可 以 作为 程序 相互 调用 时 的 参数 传递 区 域 , 成 为 一 种 可 以 印 载 和 保护 的 参 
数 传递 区 。 还 可 以 将 软件 狗 中 的 某 个 单元 作为 软件 运行 次 数 、 软 件 版 本 标志 和 运行 时 间 记 
录 , 保 证 软件 运行 版 本 的 期 限 和 软件 升级 标志 。 软 件 狗 采 用 Centronics 标准 并 行 端口 ,采用 
部 分 数据 线 作 为 读 取信 号 线 。 不 同 的 软件 狗 之 间 可 以 级 联 使 用 ,但 相同 的 软件 狗 之 间 不 能 
级 联 。 
2) 软件 狗 的 工作 机 制 
由 Intel 8255 芯片 控制 对 并 行 口 进行 编程 。 一 个 并 行 口 有 三 个 端口 。 
(1) 数据 口 ,地址 : 3BCH ,可 读 写 ,各 位 表示 如 下 : 
| 省 6 5 | 4 3 | 2 1 | 0 


1 1 


数据 输出 
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(2) 状态 口 , 地 址 : 3BDH ,可 读 写 ,各 位 表示 如 下 : 


[1s 5 | 4 3|2|1|o 


0 保留 1 保留 

2 IRQ 有 请 求 3 出 错 

4 选中 状态 5 缺 纸 (paper out) 

6 应 答 (ACK) 7 系统 忙 (busy) 

(3) 控制 口 ,地 址 : 3BEH ,可 读 写 ,各 位 表示 如 下 : 


7 6 5 4 3 2 1 0 


0 选择 1 自动 回 车 
2 初始 化 Cinit) 3 选择 
4 ”IRQ 有 效 5 未 用 
6 未 用 7 未 用 
这 些 端口 可 以 随意 使 用 ,为 了 不 影响 打印 机 ,一 般 采 用 数据 口 作 输出 ,状态 口 作 输入 。 
对 具有 STD、EPP、ECP 模式 的 并 行 接口 ,需要 注意 数据 方向 。 
并 行 口 工作 原理 参见 图 12-2。 


数据 口 第 0 位 ，3BCH/0=1， 作 V.。 


数据 口 第 0 位 ， 状态 口 第 4 位 ， 
3BCHI=1， 做 | 一 [pe 一 一 一 | 3BDH/4 作 输出 
输入 数据 

公共 地 


图 12-2 并行 口 工作 原理 


一 个 简单 例子 如 下 。 
程序 : 


MOV AL,1 

MOV DX, 3BCH 

OUT DX, AL 从 3BC 地 址 /0 位 输出 "1", 接 上 模拟 电源 ,Vcc" 非 " 门 上 电 
MOV AL,3 

OUT DX, AL 从 3BC 地 址 /1 位, 对" 非 " 门 输入 "1" 高 电 平 

INC DX 

IN AL,DX 从 3BD 地 址 /4 位 ,取出 " 非 " 门 输出 ,应 当 为 "0" 

DEC DX 

TEST AL,10H ”退回 3BC 地 址 ,测试 寄存 器 中 第 4 位 (10) 是 否 为 "0" 

JNZ ERROR 如 果 不 为 "0", 测 试 失败 , 转 错误 处 理 


注意 : LPT1 并 行 口 的 负载 能 力 有 限 , 要 防止 烧毁 ,因此 可 以 不 用 TTL 而 改 用 EEPROML。 
3) 软件 狗 与 软件 锁 的 安全 问题 
软件 狗 本 身 的 安全 也 是 一 个 重要 问题 ,最 容易 受到 攻击 的 是 软件 中 的 软件 锁 。 软 件 锁 
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的 数量 和 复杂 性 直接 影响 着 攻击 难度 。 软 件 狗 的 保护 程度 和 复杂 性 可 以 视 用 户 的 需要 而 
定 ,增加 软件 锁 虽然 可 以 提高 软件 的 保护 强度 ,但 要 增 大 软件 尺寸 ,增加 存储 量 和 执行 效率 ， 
因此 要 认真 选择 软件 狗 的 设置 。 增 加 软件 锁 和 多 次 访问 软件 狗 是 一 种 保护 策略 ,将 锁 和 访 
问 分 散 到 软件 的 各 个 部 分 , 既 提 高 了 保护 程度 ,也 增加 了 被 攻击 和 破解 的 难度 。 

从 软件 狗 的 硬件 方面 来 看 ,因为 其 依靠 计算 机 并 口 微弱 的 电压 工作 ,而 计算 机 并 口 的 电 
压 没 有 严格 统一 的 标准 ,从 2V 到 5V 都 有 可 能 ,这 对 于 软件 狗 中 的 元 器 件 的 采用 有 很 大 的 
限制 。 最 早 一 批 软件 狗 的 核心 中 只 有 一 个 EEPROM 能 够 在 计算 机 掉 电 后 仍然 保持 原 有 的 
记录 ,因此 只 要 能 够 找到 相同 的 EEPROM ,就 能 够 完全 复制 软件 狗 。 其 后 出 现 了 EEPROM 十 
计算 机 芯片 的 组 合 , 软 件 锁 不 仅 能 够 记录 信息 ,而 且 能 够 做 一 些 数学 上 的 变换 。 有 些 软 件 狗 
厂家 甚至 把 EEPROM 和 计算 机 芯片 合 而 为 一 , 制 成 专用 的 芯片 ,大 大 增加 了 软件 狗 硬 件 上 
的 加 密 程 度 , 但 这 种 方法 由 于 生产 上 的 大 批量 要 求 ,芯片 内 的 设计 不 可 能 修改 ,一 旦 被 解密 
者 破解 了 一 个 芯片 ,所 有 同类 型 的 软件 狗 即 被 破解 。 近 年 来 的 软件 狗 设 计 大 多 采用 了 低 电 
压 CPU 为 基础 的 设计 ,CPU 内 部 的 程序 由 厂家 自行 写 人 ,由 于 CPU 程序 是 一 次 写 入 而 且 
不 可 修改 ,不 可 读 出 的 ,安全 性 也 比较 高 ; 另外 CPU 程序 是 由 厂家 来 写 入 ,厂家 可 以 根据 自 
己 的 要 求 随时 修改 软件 锁 内 部 的 程序 ,灵活 性 也 比较 高 。 

其 次 在 软件 锁 方面 ,实际 上 大 多 数 破 解 者 攻击 的 只 是 软件 锁 和 客户 的 软件 方面 ,真正 从 
硬件 角度 来 破解 软件 锁 的 比较 少 。 从 结构 上 来 说 ,一 个 使 用 软件 锁 进 行 加 密 的 软件 分 为 三 
个 部 分 。 

(1) 驱动 程序 : 软件 锁 驱 动 程序 负责 计算 机 用 软件 锁 交 换 数据 ,如 果 这 个 环节 的 安全 
性 比较 差 ,那么 很 容易 被 软件 锁 模拟 程序 钻 空子 ,尤其 是 交换 的 数据 比较 固定 而 存在 未 加 密 
的 情况 时 更 是 如 此 。 市 面 上 的 “ 打 狗 棒 ”“WKPE” 等 都 是 基于 此 原理 做 出 来 的 。 其 实 这 个 
问题 很 容易 防范 ,只 要 在 通信 过 程 中 加 入 一 些 随机 的 信号 就 可 以 防止 这 种 程序 的 有 效 运 行 。 

(2) 软件 锁 提 供 的 负责 同 驱 动 程序 进行 通信 的 具体 语言 模块 (OBJ、DLL 等 ): 如 果 驱 
动 程序 过 于 简单 或 通信 协议 过 于 清晰 ,可 以 通过 制作 一 个 假 的 驱动 程序 来 模拟 所 有 软件 锁 
的 操作 ,但 这 种 方法 过 于 复杂 ,不 但 要 对 如 何 编制 设备 驱动 程序 有 所 了 解 ,还 要 完全 理解 软 
件 锁 驱 动 程序 的 工作 原理 与 通信 方式 。 所 以 有 些 破解 者 从 客户 端 程序 所 要 调用 的 具体 语言 
的 通信 模块 人手 。 因 为 有 些 客户 端 模块 非常 大 (大 于 10KB) ,而 且 在 不 同 程序 中 的 表征 都 
相同 ,破解 者 完全 可 以 写 一 段 小 的 仿真 程序 来 替换 原来 的 软件 锁 客 户 端 模 块 , 也 能 达到 破解 
的 目的 。 

(3) 客户 软件 : 此 部 分 往往 是 破解 者 攻击 的 主要 部 分 。 因 为 软件 锁 的 其 他 部 分 都 是 由 
软件 锁 的 厂家 来 完成 的 ,都 有 不 同 程度 的 加 密 和 反 跟 踪 成 分 ,只 有 客户 自己 的 程序 是 相对 简 
单 的 ,如 果 在 用 户 使 用 时 没有 仔细 规划 一 下 加 密 方 案 的 话 , 所 有 其 他 的 方面 的 努力 将 付 之 

综 上 ,软件 锁 的 使 用 环节 很 多 ,任何 一 个 环节 出 了 问题 ,都 会 造成 整个 加 密 方 案 的 失败 。 
厂家 设计 的 部 分 相对 要 严密 一 些 ,而 客户 的 使 用 方法 往往 是 加 密 成 败 的 关键 。 如 果 某 个 软 
件 锁 的 访问 最 后 可 以 归结 为 某 个 条 件 判别 的 话 .那么 一 旦 在 这 里 被 跳 过 ,那么 整个 加 密 也 就 
失去 作用 了 。 规 划一 套 真正 行 之 有 效 的 加 密 方 案 , 才 能 更 好 地 发 挥 软件 锁 的 保护 功效 。 

2. 加 密 卡 

加 密 卡 类 似 于 其 他 的 1/O 扩展 卡 , 是 安装 在 计算 机 机 箱 内 部 扩展 槽 中 的 硬件 部 件 , 其 
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优点 是 加 密 变化 多 , 反 跟 踪 措 施 多 ,保护 机 制 较 完备 ,但 安装 不 方便 。 硬 加 密 卡 对 软件 进行 
加 密 , 软 件 运 行 时 ,必须 要 有 这 个 特殊 的 硬件 存在 ,否则 软件 不 能 运行 。 若 非法 复制 软件 , 则 
必须 同时 复制 该 硬件 加 密 卡 ,而 硬件 加 密 卡 复制 相当 困难 ,因此 , 硬 加 密 卡 方法 是 防止 大 型 
软件 被 非法 盗用 的 理想 方法 ,一 般 为 系统 集成 商 采 用 , 一 般 软 件 的 加 密 不 采用 这 种 方式 。 

例如 一 种 智能 硬 加 密 方法 : 可 以 利用 8 位 单片机 、PCI 总 线 结构 设计 一 种 直接 插 在 计 
算 机 总 线 上 的 硬件 加 密 卡 。 加 密 程序 设 为 中 断 程序 ,以 陷阱 中 断 的 方式 启动 该 中 断 程序 。 
采用 随机 数 实时 核对 加 密 方法 ,加 密 卡 中 随机 数 生 成 电路 经 A/D 转换 后 、 通 过 外 部 中 断 方 
式 存 人 片 内 RAM 中 ,成 为 被 加 密 数 。 因 为 该 数 是 随机 产生 的 ,所 以 解密 很 困难 。 单 片 机 与 
PC 间 数 据 传输 的 端口 地 址 译 码 采 用 GAL16V8 完成 , 既 具 有 保密 性 ,又 减少 成 本 ,节省 了 系 
统 地 址 资源 。 

还 有 其 他 一 些 常 用 的 基于 硬件 的 软件 防 执行 设备 ,比如 基于 网 络 的 智能 卡 、 基 于 无 驱 型 
的 USB KEY ,基于 生物 特征 的 终端 设备 (指纹 仪 ) 等 。 

3. 软件 固化 技术 

对 于 有 重要 价值 的 软件 使 用 软件 固化 的 方法 是 计算 机 应 用 中 的 一 项 重要 工作 。 固 化 的 
应 用 软件 可 以 提高 计算 机 的 运行 速度 、 节 省 内 存 和 防止 信息 丢失 、 病 毒 侵害 ,确保 计算 机 系 
统 的 正常 运行 。 软 件 的 固化 与 一 般 的 数据 文件 固化 不 同 (比如 汉字 库 ) ,一 般 情况 下 ,其 固化 
的 是 可 执行 程序 。 比 如 : DOS 系统 下 . EXE 文件 的 固化 ,由 于 . EXE 文件 的 装 入 执行 由 
COMMAND. COM 负责 ,但 COMMAND. COM 只 能 处 理 磁 盘 文件 ; 因此 ,必须 设计 一 个 控 
制程 序 模拟 COMMAND. COM 处 理 固 化 程序 的 装 入 执行 ,这 是 实施 软件 固化 技术 的 关键 
所 在 。 

固化 存 取 技术 、 研 究 软 件 固化 、 软 件 运 行 控制 机 制 (安全 卡 、 软 件 狗 等 ), 是 软件 防暴 露 、 
防 复制 的 硬 实施 技术 ,必须 予以 重视 。 软 硬件 安全 技术 的 相互 配合 是 很 有 前 途 的 , 软 硬 结合 
的 加 解密 技术 ,在 提高 加 解密 速度 .节省 时 间 ,减少 存储 空间 和 运行 空间 、 防 止 跟踪 破 析 等 方 
面 都 是 非常 有 效 的 ,也 是 今后 研究 的 重点 。 


12.2.3 软件 防暴 露 ( 加 解密 与 限制 技术 ) 


防暴 露 〈 防 泄漏 ) 是 信息 安全 性 的 必要 保证 ,也 是 信息 可 用 性 的 必要 因素 。 其 目的 是 
保护 软件 ,防止 非法 查阅 修改 .复制 、 分 析 、 盗 用 、 移 植 。 软 件 防 暴露 技术 包括 了 软件 加 密 、 
软件 压缩 .软件 反 跟 踪 等 。 配 合 软件 固化 、 软 件 运行 加 密 卡 、 软 件 狗 等 运行 控制 机 制 ,达到 防 
泄露 的 目的 。 

加 密 软件 的 工作 方式 主要 有 以 下 几 种 。 

(1) 外 壳 式 : 加 密 软件 把 一 段 加 密 代码 附加 到 执行 程序 上 ,并 把 程序 入 口 指向 附加 代 
码 。 当 加 密 程序 调 入 内 存 , 首 先 执行 附加 代码 ,检查 是 否 有 跟踪 程序 ,车 没有 则 再 检查 密 钥 
是 否 正确 。 如 果 全 部 通过 , 则 转 入 原来 程序 执行 。 此 种 方式 优点 是 简单 ,不 需要 修改 源 程 
序 ; 最 大 的 缺点 是 附加 代码 的 安全 (易于 被 破解 ) 。 

(2) 内 含 式 : 加 密 代 码 以 OBJ 文件 形式 存在 ,和 要 加 密 的 软件 程序 编译 连接 在 一 起 。 
这 种 方式 需要 修改 源码 ,较为 可 靠 , 但 容易 被 跟踪 ; 主要 用 于 软件 狗 .加 密 卡 的 加 密 程 序 。 

(3) 结合 式 : 外 壳 式 和 内 含 式 的 结合 。 用 OBJ 检查 外 壳 的 可 靠 性 。 
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1. 软件 加 解密 技术 

软件 防暴 露 的 软 实施 技术 之 一 是 软件 加 解密 技术 ,利用 密 文 技术 是 加 解密 的 关键 ,现代 
密码 技术 ,如 DES 算法 、RSA 算法 、 陷 门 背包 算法 等 都 是 先进 密码 技术 ,然而 ,密码 技术 的 
使 用 和 加 解密 技术 的 实施 ,不 应 影响 软件 性 能 和 功能 ,尤其 是 对 时 间 、 空 间 、 速 度 等 敏感 的 软 
件 和 程序 ,实时 软件 以 及 某 些 多 媒体 软件 要 进行 专门 的 加 解密 研究 ,取得 应 有 的 加 密 功 效 和 
实用 功效 。 软 件 加 密 和 数据 加 密 不同 , 方 法 不 同 , 目 的 也 不 同 , 但 软件 加 密 离 不 开 数 据 加 密 。 

软件 加 密 可 以 分 为 数据 加 密 和 运行 程序 加 密 两 类 。 

1) 数据 加 密 

最 典型 的 是 网 络 通 信 中 的 数据 加 密 。 此 外 ,软件 系统 的 源 程序 和 其 他 文档 资料 都 是 字 
符 、 图 形 的 某 种 集合 ,可 以 看 成 数据 , 故 它们 的 加 密 也 属于 此 类 。 数 据 加 密 的 基本 原理 是 : 
设法 将 明文 (加 密 前 的 数据 ) 进 行 适当 的 变换 ,使 之 成 为 “面目 全 非 ” 的 密 文 ,这 些 密 文 经 过 还 
原 变换 (解密 ) 后 重新 变 成 明文 方 能 使 用 ,这 样 就 达到 了 数据 保护 的 目的 。 其 中 计算 机 密码 
学 就 是 专门 研究 数据 加 密 技术 的 一 门 学 科 。 数 据 加 密 的 一 般 方法 大 致 可 分 为 代码 法 (如 密 
码 词典 ) 和 密码 法 (如 位 移 法 ) 两 类 。 

2) 运行 程序 加 密 

运行 程序 加 密 主要 针对 存储 设备 (如 软盘 ) 上 的 软件 本 身 进行 加 密 。 一 般 分 为 硬 加 密 和 
软 加 密 两 种 方式 。 一 方面 ,加 过 密 的 程序 在 运行 时 译 码 后 仍 能 如 常 运行 ; 另 一 方面 ,对 运行 
程序 所 加 之 密 是 不 可 复制 的 。 

(1) 硬 加 密 

硬 加 密 是 指 采用 硬件 (物理 ) 的 方法 在 某 些 存储 设备 (如 软盘 ) 上 做 某 种 记号 或 者 软件 的 
运行 依赖 于 某 些 特殊 硬件 。 这 种 永久 性 不 可 恢复 的 记号 或 者 对 硬件 的 依赖 基本 上 是 不 可 复 
制 的 ,所 以 一 般 硬件 加 密 方法 较 难 破解 。 硬 加 密 通常 有 激光 法 、 固 化 部 分 程序 法 和 掩 膜 法 。 

Q@ 激光 加 密 法 : 利用 激光 技术 在 对 软盘 进行 格式 化 的 同时 在 数据 区 或 扇 区 标识 符 上 
烧 若 干 个 痕迹 ,使 磁盘 的 某 些 点 失去 磁性 ,形成 激光 孔 , 同 时 配 上 加 密 软 件 ,使 复制 工具 无 法 
识别 ,不 能 正常 工作 ,从 而 达到 防 复制 的 目的 。 

@ 固化 部 分 程序 法 : 这 种 方法 通常 是 将 用 户 必 须 运行 的 某 些 程序 段 .数据 或 密 钥 等 固 
化 在 某 些 存储 器 集成 芯片 上 ,这 使 得 用 户 运行 程序 时 离 不 开 这 些 芯 片 ,从 而 难于 实现 复制 软 
件 的 目的 。 例 如 软件 狗 就 是 这 种 加 密 方 式 。 

@ 掩 膜 加 密 法 : 其 与 激光 法 的 原理 是 一 样 的 ,只 是 其 实施 途径 不 同 而 已 。 它 是 用 镀膜 
的 方法 屏蔽 掉 数 据 地 址 ,使 复制 工具 无 法 识别 。 

(2) 软 加 密 

软 加 密 是 指 用 软件 工具 在 软盘 上 产生 隐藏 的 特殊 的 格式 化 数据 作为 检测 记号 ,这 种 记 
号 可 以 恢复 但 不 可 复制 。 目 前 市 场 上 的 软件 大 多 采用 的 是 软 加 密 方 法 ,例如 KV3000、 瑞 星 
杀毒 软件 等 。 以 下 列举 几 种 常见 的 软 加 密 方法 。 

@ 错 磁 区 法 : 这 种 方法 是 在 软盘 上 写 入 一 个 或 若干 个 错误 磁 区 ,即使 磁 区 的 总 检查 区 
与 其 测试 值 不 吻合 ,可 能 会 因为 读数 据 错 误 而 立即 停止 复制 。 但 KingCopy 2000 等 可 以 识 
别 错误 磁 区 ,从 而 可 以 复制 这 种 加 密 软件 。 

@ 多 扇 区 法 : 设法 增加 扇 区 的 密度 ,在 空隙 较 大 、 可 以 存放 较 多 数据 的 外 围 磁 道 , 每 个 
磁道 可 挤 入 19 或 20 个 扇 区 。 而 一 般 的 复制 程序 只 能 读 写 0 一 18 个 扇 区 。 所 以 正常 复制 是 
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无 法 复制 的 。 

@ 多 余 磁 道 法 : 在 磁盘 格式 化 时 ,使 盘 片 具有 和 多余 标 准 的 磁道 数 。 而 一 般 的 复制 程序 
只 能 复制 0 一 80 道 。 这 样 多 余 的 磁道 便 无 法 复制 ,车 在 这 些 磁道 上 放 入 一 些 关 键 程 序 则 可 
使 复制 者 因 得 不 到 完整 的 程序 而 复制 失败 。 这 种 方法 的 保密 性 能 与 多 扇 区 法 一 样 , 若 能 找 
到 多 余 的 磁道 ,也 将 解密 。 

@ 道 间 隐蔽 软 指纹 保护 法 : 这 种 方法 是 将 特殊 扇 区 隐藏 在 正常 的 格式 磁盘 的 某 相 邻 
两 磁道 之 间 ,并 通过 特殊 的 读 写 方式 来 识别 此 处 的 指纹 信息 ,以 分 辨 授权 标志 。 这 种 加 密 方 
法 可 以 在 间隙 上 做 一 异常 格式 化 的 扇 区 ,如 建立 超级 扇 区 标记 场地 址 ,即使 整个 磁道 的 有 效 
长 度 小 于 扇 区 标记 长 度 ,使 得 读 该 房 区 时 ,一 次 读 和 人 具有 指纹 特征 的 道 首 尾 接 缝 信息 ,由 于 
磁性 材料 的 均匀 度 、 弱 磁 位 写 时 转速 的 波动 和 道 长 偏差 等 多 种 因素 的 影响 ,各 扇 区 长 的 循环 
元 余 码 、 断 点 吸收 码 和 各 道 首尾 接 缝 处 的 信息 均 是 不 同 的 。 所 以 这 种 加 密 方法 不 能 被 任何 
工具 直接 写 到 磁盘 上 ,从 而 起 到 加 密 作用 。 

磁盘 扇 区 结构 参见 表 12-1。 


表 12-1 磁盘 扇 区 结构 


域 标 志 域 数 据 域 

字段 | GAP1 | SYNC AMI1 ID | CRC | GAP2 | SYNC| AM2 DATA CRC 

字 节 数 | 80 12 3 1 4 区 22 2 3 1 512 2 

内 容 4EH* | 00 | AlH |FEH ICHRN*| * 4EH | 00 | AlH | FBH x x 
其 中 : 


GAP1 一 一 扇 区 之 间 间 际 区 ; 
SYNC 一 一 磁盘 控制 器 的 压 频 振荡 器 同步 用 的 同步 信号 区 ; 
AM1 一 一 扇 区 检索 标志 ; 


ID 一 一 扇 区 地 址 标识 (C 表示 磁道 号 ; H 表示 磁头 号 ; R 表示 扇 区 号 ; N 表示 扇 区 字 节 数 ); 


CRC 一 一 循环 元 余 校 验 值 ; 

GAP2 一 一 标志 域 与 数据 域 间隙 区 ; 

AM2 一 一 数据 区 标志 ,第 四 字 节 正常 值 为 FBH ,异常 值 为 F8H; 

DATA 一 一 长 度 可 变 , 由 基数 表 中 N 值 决定 ,在 通常 情况 下 ,格式 化 后 写 人 数据 前 , 数 
据 区 内 容 都 填充 为 F6H 字 节 。 

正常 情况 下 ,一 张 3 寸 软盘 必须 经 过 格式 化 后 才能 正常 读 写 。 而 每 个 盘 每 面 有 80 个 磁 
道 ,每 个 磁道 有 18 个 扇 区 ,每 个 扇 区 有 512 个 字 节 。 即 这 里 的 参数 由 表 12-1 中 的 ID 号 来 
决定 。 而 实际 上 软盘 的 真正 物理 空间 要 大 于 这 种 标准 的 构造 所 占用 的 空间 。 因 此 ,可 以 利 
用 Debug 等 工具 将 磁盘 的 ID 号 某 磁道 或 者 是 某 扇 区 随意 加 以 修改 ,然后 将 密 钥 信息 写 人 
这 些 经 过 特殊 格式 化 的 扇 区 。 这 样 一 般 的 Copy、Diskcopy 以 及 Petools 和 Hd-Copy、 
Windows 是 无 法 复制 的 ,从 而 达到 加 密 的 目的 。 

3) 其 他 常用 软件 加 密 方法 

可 以 充分 利用 操作 系统 的 特性 和 提供 的 API 使 软件 加 密 更 加 安全 。 这 些 方法 简单 快 
捷 , 对 于 普通 软件 的 加 密 行 之 有 效 。 
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(1) 利用 Windows 注册 表 实 现 软件 注册 加 密 。Windows 系统 注册 表 有 六 个 主键 : 
HKEY_ CLASS_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY _ 
USERS HKEY_CURRENT_CONFIG 和 HKEY_DYN_DATA。 每 个 主键 下 面 又 分 若干 
个 子 键 ,每 个 子 键 下 又 可 新 建 子 键 和 项 ,整个 注册 表 呈 树 状 结构 。 每 个 项 都 有 名 称 和 值 , 值 
可 以 是 二 进 制 .十 进 制 .十 六 进 制 和 字符 串 型 。 用 程序 实现 注册 表 的 操作 是 相当 简便 的 。 

大 多 数 软件 都 是 采用 这 种 方法 来 实现 软件 注册 加 密 功 能 。Windows 系统 注册 表 信 息 
量 相当 大 ,几乎 所 有 Windows 系统 和 计算 机 系统 配置 信息 都 保存 在 注册 表 中 。 如 果 软 件 密 
钥 被 写 和 注册 表 ,那么 寻找 密 钥 保 存 位 置 无 异 于 海底 捞 针 ,不 采用 一 定 的 技术 (如 线程 跟踪 
等 ) 是 无 法 得 到 密 钥 的 。 

(2) 计算 机 “指纹 ”加 密 。 一 般 是 在 计算 机 体系 范围 内 ,采用 某 种 手段 利用 计算 机 系统 
已 经 存在 的 或 加 入 某 些 特征 信息 作为 标志 ,在 软件 启动 或 运行 时 , 先 检 验 这 些 信息 标志 来 判 
断 是 否 具 有 合法 性 。 比 如 利用 被 称 为 计算 机 指纹 ”的 CPU ID、 硬 盘 分 区 卷 标 、 硬 盘 大 小 、 
网 卡号 等 信息 将 任意 两 台 机 器 区 分 出 来 ,从 而 可 以 生成 一 段 唯一 的 序列 号 ,作为 一 台 计 算 机 
的 特征 信息 。 在 安装 应 用 软件 前 ,可 通过 某 种 方法 获得 计算 机 指纹 信息 ,考虑 到 唯一 性 和 稳 
定性 ,通常 将 硬盘 的 序列 号 和 网 卡 的 物理 地 址 作为 一 台 计 算 机 的 指纹 信息 。 软 件 开发 者 利 
用 相应 的 加 密 算法 进行 加 密 并 将 加 密 后 的 密码 或 序列 号 等 数据 通知 用 户 ; 用 户 在 安装 软件 
过 程 中 根据 安装 提示 ,将 软件 商 提 供 的 密码 或 注册 号 输入 ,安装 程序 将 其 写 和 人 系统 软件 的 注 
册 表 中 ; 应 用 程序 在 启动 或 运行 过 程 中 , 先 检测 获取 硬盘 序列 号 或 网 卡 的 物理 地 址 ,再 采用 
同一 加 密 算法 将 其 加 密 , 并 将 加 密 后 的 密码 或 注册 号 等 数据 与 系统 软件 注册 表 中 的 数据 比 
较 , 如 相同 则 继续 运行 ,否则 , 则 停止 或 显示 软件 未 经 授权 ,无 法 使 用 等 信息 ,从 而 达到 软件 
保护 的 目的 。 由 此 可 见 , 采 用 计算 机 指纹 实现 软件 的 加 密 关键 步骤 为 : 首先 获取 计算 机 指 
纹 信息 ,其 次 对 计算 机 指纹 信息 进行 加 密 , 最 后 向 用 户 提供 授权 信息 。 

根据 应 用 的 实际 情况 ,通常 计算 机 指纹 信息 采用 硬盘 序列 号 .网 卡 物理 地 址 (MAC) 实 
现 计算 机 身份 的 唯一 标识 。 理 想 的 加 密 程序 应 该 本 身 具 有 提取 计算 机 指纹 信息 的 功能 ,而 
且 软 件 每 次 运行 时 应 该 先 提取 计算 机 指纹 信息 ,然后 通过 加 密 算 法 验证 软件 施用 的 合法 性 。 
在 VC++ 中 ,获取 硬盘 序列 号 可 以 通过 GetVolumeInformation() 函数 实现 ; 而 网 卡 物理 地 
址 的 获取 要 通过 Windows 中 内 置 的 NetApi32. DLL 的 功能 来 实现 。 

例 : 利用 VC++ 语 言 提供 的 函数 可 以 获取 计算 机 硬盘 的 空间 、 类 型 . 卷 标 、 序 列 号 等 信 
息 。 通 常 不 同 的 硬盘 这 些 信息 相同 概率 很 小 ,利用 这 些 信 息 形 成 密 文 ,加 入 应 用 软件 ,可 实 
现 对 用 软件 的 加 密 , 防 止 软件 被 非法 使 用 。 利 用 函数 GetVolume Information 以 获取 盘 符 
为 C 的 硬盘 参数 为 例 , 该 函数 及 其 参数 的 意义 如 下 。 


GetVolumeInformation ("C:\",/* 被 读 取 磁 盘 或 文件 目录 ,参数 类 型 :L PCTSTR* / 


lpVolumeNameBuffer , /* 输 出 的 文件 系统 的 卷 标 名 ,参数 类 型 :L PTSTR* / 
nVolumeNameSize , /* 缓冲 的 最 大 长 度 ,参数 类 型 :DWHORDx* / 
&dwVolumeSerialNumber , /* 硬盘 序列 号 ,参数 类 型 :5 PDWORD * / 
&LpMaximumComponentLengt h ，/* 文件 或 目录 字符 串 的 最 大 长 度 ,参数 类 型 :L PDWORD * / 
ELp FileSystemFlags ， /* 文 件 系 统 标识 号 :参数 类 型 :L PDWORD * / 


lp FileSystemNameBuffer , /* 文 件 系 统 名 称 ,参数 类 型 :L PTSTR* / 
nFileSystemNameSize /* 文 件 系 统 名 的 缓冲 大 小 ,参数 类 型 :DNORD * / 
) 
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其 中 用 变量 dwVolumeSerialNumber 存 取 硬盘 的 序列 号 。 

2. 软件 压缩 还 原 技 术 

另 一 种 软件 防暴 露 技术 是 软件 压缩 技术 , 它 既 可 以 反 查阅 、 反 分 析 、 反 跟踪 ,也 可 以 节省 
存储 空间 ,如何 有 效 地 应 用 压缩 技术 和 还 原 技 术 是 研究 的 重点 ,但 也 不 能 影响 软件 本 身 功效 
与 效能 。 

在 我 们 备份 软件 的 时 候 ,一 般 都 习惯 于 备份 为 压缩 格式 ,这 样 不 仅 节省 硬盘 空间 ,而 且 
还 易于 管理 。 当 然 ,采用 压缩 工具 软件 中 的 文件 加 密 功能 进行 软件 备份 是 一 种 很 好 的 保护 
备份 软件 的 方式 。 在 WinZip 工具 中 ,文件 的 加 密 非常 简单 ,在 压缩 文件 的 时 候 , 只 需要 单 
击 设置 对 话 框 中 的 PassWord 按钮 ,然后 在 弹出 的 对 话 框 中 设置 需要 的 密码 ,并 在 类 似 的 对 
话 框 中 进行 确认 即 可 。 这 样 , 即 可 实现 简单 的 口令 压缩 备份 。 

在 WinRAR 工具 中 ,也 可 以 像 WinZip 一 样 进行 加 密 。 在 使 用 WinRAR 时 当 出 现 压缩 
文件 设置 对 话 框 的 时 候 , 选择 设置 对 话 框 中 的 Advanced 页 面 ,然后 在 其 中 执行 “Set 
password/” 命 令 ,在 弹出 的 对 话 框 中 设置 密码 即 可 。 

3. 软件 反 跟 踪 技 术 

软件 的 反 跟 踪 技 术 是 防止 软件 被 非法 地 前 析 、 分 析 、 盗 用 、 移 植 ,以 及 对 专用 软件 ,如 军 
用 软件 金融 软件 等 的 逆向 工程 的 研究 。 反 跟踪 技术 采用 破坏 跟踪 、 反 穷 举 法 达到 软件 保护 
目的 ,使 人 侵 者 不 能 跟踪 或 者 跟踪 困难 。 研 究 针 对 相应 系统 平台 的 破坏 跟踪 方式 ,如 检测 跟 
踪 法 .键盘 锁定 法 .干扰 视频 法 .循环 启动 和 系统 死 锁 法 等 ,也 可 以 采用 迷宫 程序 法 、 隐 蔽 程 
序 流 、 废 指令 与 逆 指 令 流 、 反 汇编 法 等 。 与 软件 加 密 和 硬件 加 密 相 结合 的 反 跟 踪 技 术 的 研究 
则 是 新 颖 的 和 效率 高 的 。 反 跟踪 技术 包括 屏 项 中 断 法 、 定 时 时 序 法 ,调试 程序 抑制 技术 , 功 
能 封锁 ,程序 设计 技巧 等 。 

1) 跟踪 工具 及 其 实现 

DOS 系统 中 的 DEBUG. COM 动态 调试 程序 ,是 一 个 使 用 简单 且 非 常 有 用 的 工具 程序 ， 
它 是 一 个 强 有 力 的 跟踪 工具 。 它 既 可 以 用 于 对 任何 格式 的 文件 进行 观察 和 修改 ,也 可 以 对 
软盘 和 硬盘 的 任何 区 域 进行 直接 读 写 。 尤 其 是 可 以 用 于 对 执行 程序 的 跟踪 分 析 和 把 二 进 制 
代码 转换 为 汇编 指令 ,还 可 以 查看 内 存 状态 ,分 析 程 序 出 错 原 因 、 病 毒 感染 情况 等 。 

其 中 ,DEBUG 中 ,U 命令 可 以 将 程序 的 机 器 码 反 汇编 语句 显示 出 来 ; T 和 G 命令 可 以 
单 步 或 段 式 跟踪 程序 运行 ; R 命令 可 以 随时 查看 程序 运行 。 因 此 只 要 了 解 DEBUG 运行 环 
境 以 及 各 种 命令 执行 原理 , 即 可 采取 相应 的 反 跟踪 措施 。 

2) 软件 运行 中 的 反 跟踪 技术 

软件 运行 中 的 反 跟 踪 技 术 有 如 下 几 种 。 

(1) 抑制 跟踪 中 断 。DEBUG 在 执行 工 命令 和 G 命令 时 ,分 别 要 运行 系统 单 步 中 断 和 
断 点 中 断 服 务 程序 。 在 系统 中 断 向 量 表 中 ,这 两 种 中 断 的 中 断 向 量 分 别 为 1 和 3, 中 断 服 务 
程序 人 口 地 址 分 别 存放 在 内 存 0000: 0004 和 0000: 000C 起 始 的 4 个 字 节 中 ,其 中 前 2 个 字 
节 是 偏 移 地 址 ,后 2 个 字 节 是 段 地 址 。 因 此 , 当 这 些 单元 的 内 容 被 改变 后 , 工 命 令 和 G 命令 
就 不 能 正常 执行 ,从 而 抑制 跟踪 命令 。 为 此 有 以 下 方法 。 

@ 在 这 些 单元 中 送 入 无 关 的 值 。 

@ 将 这 些 单元 作为 软件 运行 必需 的 工作 单元 。 
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@ 将 某 个 子 程序 的 偏 移 地 址 和 段 地 址 送 入 此 单元 。 当 需要 调用 该 子 程序 时 ,使 用 
INT1 和 INT3 指令 来 代替 CALL 命令 。 

图 在 0000:000C 处 送 入 一 段 特定 程序 的 地 址 , 当 跟 踪 者 输入 G 命令 就 会 运行 该 段 程 
序 , 可 对 跟踪 者 进行 惩罚 ,如 清除 磁盘 上 的 信息 等 。 

@ 改变 键盘 中 断 服务 程序 的 入 口 地 址 ,键盘 中 断 向 量 为 9, 其 服务 程序 的 入 口 地 址 存放 
在 0000:0024 处 ,改变 该 处 的 内 容 , 键 盘 信 息 就 不 能 正常 输入 。 

(2) 封锁 系统 输入 输出 设备 。 各 种 跟踪 调试 软件 在 工作 时 ,都 要 从 键盘 上 接收 操作 者 
发 出 的 命令 ,而 且 还 要 从 屏幕 上 显示 调试 跟踪 的 结果 ,这 也 是 各 种 跟踪 调试 软件 对 运行 环境 
的 最 低 要 求 。 因 此 反 跟 踪 技 术 针对 跟踪 调试 软件 的 这 种 * 弱 点”, 在 加 密 系统 无 须 从 键盘 或 
屏幕 输入 、 输 出 信息 时 ,关闭 了 这 些 外 围 设 备 ,以 破坏 跟踪 调试 软件 的 运行 环境 。 

@ 禁止 键盘 中 断 。 主 板 上 的 8259 中 断 控制 器 管理 定时 器 、 键 盘 、 软 硬盘 等 设备 与 CPU 
的 信息 交换 。 控 制 键盘 的 是 中 断 屏蔽 寄存 器 的 第 1 位 ,只 要 将 该 位 置 1, 即 可 关闭 键盘 的 中 
断 。 用 如 下 三 条 指令 即 可 实现 : 

IN AL,21H 


OR AL, 02H 
OUT 21H,AL 


需要 放 开 键盘 中 断 时 ,也 要 用 三 条 指令 : 


IN AL,21H 
OR AL, OFDH 
OUT 21H,AL 


@ 禁止 接收 键盘 数据 。 键 盘 数据 的 接收 由 主板 8255A 并 口 完成 。 其 中 PA 口 用 来 接 
收 键盘 扫描 码 ,PB 口 的 第 7 位 用 来 控制 PA 口 的 接收 ,该 位 为 0 表示 允许 键盘 输入 ,为 1 则 
清除 键盘 。 通 常 ,来 自 键盘 的 扫描 码 从 A 口 接收 以 后 , 均 要 清除 键盘 然后 再 允许 键盘 输入 。 
为 了 封锁 键盘 输入 ,只 需 将 该 位 设置 为 1 而 不 是 0 即 可 。 代 码 如 下 : 

IN AL, 61H 


OR AL, 80H 
OUT 61H, AL 


当 需 要 恢复 键盘 输入 时 ,执行 以 下 三 条 指令 : 


IN AL,61H 
AND AL, 7FH 
OUT 61H,AL 


@ 改变 CRT 显示 特性 。DEBUG 各 种 命令 被 执行 后 ,其 结果 均 要 在 屏幕 上 显示 出 来 ， 
供 人 们 查看 。 因 此 , 当 程 序 运 行 时 而 不 需要 屏幕 显示 时 ,可 以 将 屏幕 前 景 和 背景 色 设置 成 同 
一 颜色 。 代 码 如 下 : 

MOV AH, OBH 

MOV BH, 0 


MOV BL, 0 
INT 10H 
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另外 ,DEBUG 在 显示 信息 时 ,必然 会 出 现 屏幕 上 卷 、 换 页 等 。 因 此 可 以 通过 程序 检查 
这 些 信息 的 状态 ,从 而 判定 是 否 存在 跟踪 。 获 取 屏 幕 信 息 的 方法 如 下 : 

MOV AH, 2 

MOV BH, 0 

MOV DH, 行 光标 值 

MOV DL， 列 光标 值 

MOV 10H 

MOV AH, 8 

INT 10H 


(3) 定时 技术 。 设 程序 中 有 两 点 A 和 B, 在 正常 情况 下 ,从 A 到 B 所 需 的 运行 时 间 为 
C, 而 在 跟踪 运行 时 ,速度 较 慢 , 所 需 时 间 将 远 远 超 过 C, 这 样 便 可 利用 这 种 时 间 差 判明 是 否 
有 人 在 跟踪 程序 。 如 何 知 道 A、B 两 点 间 的 实际 运行 时 间 呢 ?PC 主机 板 上 设 有 8253 计时 
器 ,其 中 通道 0 为 通用 计时 器 提供 了 一 个 固定 的 实时 计数 器 ,用 来 实现 计时 。 在 ROM 
BIOS 中 , 软 中 断 1AH 提供 了 读 取 当 前 时 钟 值 的 功能 。 

MOVAH, 0 

INT1RAH 

通常 情况 下 ,程序 跟踪 时 ,跟踪 者 需要 边 运 行 边 查看 运行 结果 。 因 此 ,通过 分 析 程序 的 
实际 运行 时 间 和 设计 程序 时 估算 运行 时 间 , 即 可 判定 程序 的 执行 是 否 被 跟踪 。 

当然 ,上 述 反 跟踪 技术 只 能 在 程序 被 实时 跟踪 的 过 程 中 起 到 相应 作用 ,而 对 于 某 些 跟踪 
者 在 跟踪 程序 之 前 采用 反 汇编 技术 事先 将 程序 代码 打印 并 通过 静态 分 析 对 反 跟踪 技术 进行 
破解 的 情况 , 则 无 能 为 力 了 。 

(4) 其 他 反 跟 踪 技 术 。 

@ 数据 交换 随机 噪声 技术 : 有 效 地 对 抗 逮 辑 分 析 仪 分 析 及 各 种 调试 工具 的 攻击 。 

@ 迷宫 技术 : 在 程序 人 口 和 出 口 之 间 包 含 大 量 判断 跳 转 干扰 ,动态 改变 执行 次 序 , 提 
升 狗 的 抗 跟踪 能 力 。 

@ 时 间 闸 : 某 些 狗 内 部 设 有 时 间 闻 ,各 种 操作 必须 在 规定 的 时 间 内 完成 。 狗 正常 操作 
用 时 很 短 ,但 跟踪 时 用 时 较 长 ,超过 规定 时 间 狗 将 返回 错误 结果 。 

@ 单片机 : 硬件 内 置 单 片 机 ,固化 的 单片机 软件 保证 外 部 不 可 读 ,从 而 保证 狗 不 可 仿制 。 

@@ 对 程序 分 块 加 密 执行 : 为 了 防止 加 密 程序 被 反 汇编 ,加 密 程序 最 好 以 分 块 的 密 文 形 
式 装 和 内存 ,在 执行 时 由 上 一 块 加 密 程 序 对 其 进行 译 码 ,而 且 在 某 一 块 执行 结束 后 必须 立即 
对 它 进 行 清除 ,这 样 在 任何 时 刻 内 不 可 能 从 内 存 中 得 到 完整 的 解密 程序 代码 。 这 种 方法 除 
了 能 防止 反 汇编 外 还 可 以 使 解密 者 无 法 设置 断 点 ,从 而 从 一 个 侧面 来 防止 动态 跟踪 。 

@ 设置 大 循环 : 程序 越 简 单 ,就 越 易 读 ,跟踪 也 就 越 方 便 ,因此 ,在 加 密 系统 中 设置 大 
循环 ,可 以 在 精力 上 消耗 解密 者 ,延长 跟踪 破译 加 密 系统 的 时 间 。 这 种 反 跟踪 技术 已 经 被 广 
泛 应 用 ,而 且 取 得 了 较 好 的 效果 。 它 的 具体 实现 方法 是 : 在 加 密 程序 中 设置 多 重 循 环 , 并 使 
上 一 层 循 环 启动 下 一 层 循环 ,下 一 层 循环 启动 下 下 一 层 循环 ,如 此 循环 ,而 且 还 可 以 频繁 地 
调用 子 程序 , 要 保证 不 能 有 一 层 循环 被 遗漏 不 执行 。 

@ 废 指令 法 : 在 加 密 程 序 中 设置 适当 的 无 用 程序 段 ,而 且 在 其 中 设置 如 大 循环 等 程 
序 , 这 种 方法 在 反 跟 踪 技 术 中 被 称 为 废 指令 法 。 要 实现 废 指令 法 有 三 点 要 保证 : 四 废 指令 
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要 精心 组 织 安排 ,不 要 让 解密 者 识破 机 关 , 这 是 废 指令 法 应 具备 的 基本 点 ,因为 它 的 目的 是 
诱导 解密 者 去 研究 破解 自身 ,并 在 破解 过 程 中 拖 垮 解密 者 ,所 以 废 指令 法 本 身 的 伪装 十 分 重 
要 ; 加 所 用 的 废 指令 应 大 量 选 用 用 户 生 玻 的 指令 或 DOS 内 部 功能 的 调用 ,以 最 大 程度 地 消 
耗 解密 者 的 精力 和 破译 时 间 ; 四 要 确保 不 实现 任何 功能 的 废 指令 段 不 能 被 逾越 ,这 是 废 指 
令 法 要 注意 的 一 个 重要 问题 ,因为 它 如 果 能 被 轻易 逾越 ,那么 就 说 明 加 密 系统 所 采取 的 废 指 
令 法 是 失败 的 反 跟踪 技术 。 

程序 自生 成 技术 : 程序 的 自生 成 是 指 在 程序 的 运行 过 程 中 ,利用 上 面 的 程序 来 生成 
将 要 执行 的 指令 代码 ,并 在 程序 中 设置 各 种 反 跟 踪 措 施 的 技术 。 这 样 可 以 使 得 反 汇 编 的 指 
令 并 非 将 要 执行 的 指令 代码 ,同时 还 可 以 隐蔽 关键 指令 代码 ,但 由 于 实现 代价 较 高 ,一 般 只 
对 某 些 关键 指令 适用 。 

加 逆 指 令 流 法 : 指令 代码 在 内 存 中 是 从 低地 址 向 高 地 址 存放 的 ,CPU 执行 指令 的 顺序 
也 是 如 此 ,这 个 过 程 是 由 硬件 来 实现 的 ,而 且 这 个 规则 已 经 被 人 和 跟踪 调试 软件 牢 牢 接收 。 
针对 这 个 方面 逆 指 令 流 法 特意 改变 顺序 执行 指令 的 方式 ,使 CPU 按 逆向 的 方式 执行 指令 ， 
这 样 就 使 得 解密 者 根本 无 法 阅读 已 经 逆向 排列 的 指令 代码 ,从 而 阻止 解密 者 对 程序 的 跟踪 。 
因为 顺序 执行 指令 是 由 硬件 决定 的 ,所 以 如 果 用 软件 的 方式 设计 CPU 按 逆向 执行 指令 ,就 
显 出 相当 困难 和 烦琐 了 ,不 过 逆 指 令 流 法 是 一 个 非常 有 吸引 力 和 使 用 前 景 的 反 跟 踪 技 术 ， 
如 果 能 把 这 种 技术 成 功 地 运用 在 磁盘 加 密 技术 中 ,势必 会 给 解密 者 造成 巨大 的 压力 和 
威慑 。 

@ 混合 编程 法 : 破译 加 密 系统 的 首要 工作 是 读 取 程 序 和 弄 清 程 序 思路 ,并 针对 其 中 的 
弱点 下 手 。 为 了 阻挠 解密 者 对 加 密 程 序 的 分 析 , 可 以 尽量 将 程序 设计 得 紊乱 些 ,以 降低 程序 
的 可 读 性 。 这 种 方法 具体 在 反 跟 踪 技术 中 使 用 的 就 是 混合 编程 法 。 因 为 高 级 编译 语言 的 程 
序 可 读 性 本 身 就 较 差 ,如 果 再 将 几 种 高 级 语言 联合 起 来 编写 使 用 ,一 定 会 极 大 地 降低 程序 的 
可 读 性 。 


12.2.4 软件 防 算 改 (完整 可 用 技术 ) 


软件 防臭 改 是 信息 完整 性 的 必要 条 件 , 也 是 信息 可 用 性 的 基础 。 计 算 机 犯罪 活动 , 通 党 
是 由 臭 改 计算 机 应 用 程序 入 手 ,通过 改变 程序 中 的 某 些 代码 ,删除 和 改动 某 些 文件 数据 , 普 
换 某 些 文件 来 进行 。 恶 意 程序 的 进入 和 传播 ,也 常常 通过 感染 程序 、 附 着 在 程序 或 数据 之 
中 ,进行 潜伏 和 再 传播 ,这 些 被 非法 修改 的 程序 还 通过 携带 ,交换 和 通过 网 络 传播 到 远方 , 它 
们 是 信息 系统 不 安全 的 重要 因素 。 

软件 防 自 改 研究 的 目标 与 内 容 涉及 面 很 广 ,包括 软件 自身 完整 性 的 理论 与 机 制 研究 、 软 
件 自 保护 技术 〈 含 自 诊断 、 自 检测 技术 、 自 毁 技术 ) 研究 ,软件 防 病毒 技术 研究 ,磁盘 ( 含 其 
他 存储 介质 ) 的 防 得 改 、 防 破坏 技术 。 

1. 软件 自 保护 技术 

防臭 改 首先 要 求 软件 能 够 自 保护 ,软件 自 保护 技术 包括 了 自 诊断 、 自 检测 技术 , 防 病毒 
技术 , 自 毁 技术 ,研究 软件 本 身 是 否 已 受到 攻击 、 受 到 改动 ,通过 诊断 .比较 .分 析 而 得 以 确 
认 , 同 时 阻止 对 软件 代码 的 修改 。 这 个 工作 可 以 由 系统 和 其 他 专用 软件 程序 承担 ,也 可 以 由 
软件 自己 完成 ,具有 自 保护 功能 的 软件 是 研究 的 重点 。 对 软件 代码 的 未 预期 修改 包括 用 户 
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对 代码 的 手工 改变 和 病毒 对 代码 的 自动 改变 两 种 。 一 旦 检测 到 这 些 修改 , 防 算 改 机 制 将 使 
程序 功能 的 一 部 分 或 全 部 变 得 无 用 。 例 如 ,可 以 采用 程序 校 验 和 保护 技术 程序 自生 成 技 
术 等 。 

基于 软件 的 防 自 改 技术 仅仅 依靠 软件 机 制 来 防范 自 改 ,主要 有 校 验 和 、 软 件 哨 兵 。 软 件 
老化 .断言 检查 、 密 码 技 术 、 代 码 模糊 等 。 

1) 校 验 和 

一 种 直观 的 防 算 改 技术 就 是 通过 检验 校 验 和 是 否 一 致 。 其 实现 方式 是 : 将 正常 文件 的 
内 容 , 计 算 其 校 验 和 ,将 该 校 验 和 写 入 文件 或 写 入 别 的 文件 中 保存 。 在 文件 使 用 过 程 中 , 定 
期 地 或 每 次 使 用 文件 前 ,检查 文件 现在 内 容 算出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 致 ,如 
果 不 一 致 , 则 说 明文 件 被 算 改 。 这 种 技术 也 是 发 现 病毒 的 有 效 方法 。 但 是 ,这 种 方法 很 难 隐 
藏 校 验 的 性 质 ,一旦 发 现 ,攻击 者 很 容易 去 除 它 或 修改 它 , 或 者 通过 伪造 校 验 码 来 防止 自己 
的 非法 入 侵 行为 被 发 现 。 

2) 软件 哨兵 

软件 哨兵 是 一 些 非常 小 的 程序 ,它们 运行 在 软件 片段 中 ,执行 不 同 的 任务 (如 代码 模糊 、 
加 密 、 检 测 校 验 和 、 反 汇编 等 ) ,以 帮助 维持 它们 所 嵌入 软件 的 完整 性 和 安全 。 一 个 软件 所 拥 
有 的 哨兵 数量 可 从 少数 几 个 到 几 百 个 不 等 ,它们 位 于 软件 的 位 置 不 同 , 其 作用 也 不 相同 。 如 
果 使 用 了 软件 哨兵 , 则 攻击 者 在 访问 和 算 改 软件 前 ,必须 绕 过 或 去 除 每 一 个 哨兵 。 即 使 攻击 
者 绕 过 或 去 除了 某 些 哨兵 , 剩 下 的 哨兵 将 发 现 这 种 算 改 ,并 阻止 程序 的 运行 。 由 于 哨兵 能 设 
置 监视 软件 代码 的 某 块 区 域 ,这 使 得 算 改 更 加 困难 。 男 外 ,一 旦 哨兵 发 现代 码 被 修改 ,能 立 
即将 代码 修改 回来 , 变 成 一 种 能 自我 修复 的 软件 形式 。 因 此 ,如 果 软 件 中 嵌入 了 许多 哨兵 ， 
则 攻击 者 即使 能 绕 过 每 一 个 哨兵 ,也 需要 大 量 时 间 。 而 哨兵 的 自我 修复 能 力也 将 使 攻击 者 
的 算 改 寸步 难 行 。 

3) 软件 老化 

软件 老化 是 指 软 件 运 行 一 段 时 间 之 后 性 能 下 降 甚至 崩溃 的 现象 ,这 种 现象 广泛 存在 于 
各 种 长 期 运行 的 软件 之 中 。 解 决 软件 老化 的 重要 技术 是 软件 再 生 技术 ,这 种 技术 的 基本 思 
想 是 在 适当 的 时 间 终 止 一 个 应 用 程序 ,然后 清理 其 内 部 错误 、 更 新 其 功能 ,并 重新 启动 这 个 
应 用 程序 。 利 用 软件 老化 方法 防止 软件 被 盗版 和 被 算 改 ,就 是 指 要 定期 对 软件 进行 更 新 。 
更 新 可 修改 错误 ,为 用 户 增加 新 特性 ,也 可 保持 程序 与 它 所 依赖 的 软件 同步 。 通 过 提供 适时 
的 更 新 ,以 减少 软件 老 版 本 的 使 用 周期 ,软件 开发 商 能 强迫 盗版 者 和 算 改 者 也 更 新 其 盗版 软 
件 , 增 加 发 现 盗版 者 和 算 改 者 的 可 能 性 。 软 件 老化 技术 在 增加 软件 被 自 改 难度 的 同时 ,也 可 
能 给 用 户 带 来 不 方便 ,开发 商 应 提供 自动 下 载 和 安装 更 新 等 相应 的 服务 。 

4) 断言 检查 

断言 是 一 种 逻辑 表达 式 ,用 于 特别 说 明 一 个 条 件 或 程序 变量 之 间 的 关系 。 程 序 员 可 在 
程序 中 的 某 特定 点 设置 此 表达 式 的 值 为 真 。 断 言 检查 就 是 检验 断言 是 否 正确 。 对 程序 中 的 
某 种 假设 ,或 防止 某 些 参数 的 非法 值 , 利 用 断言 来 帮助 查 错 是 一 种 好 的 方法 。 例 如 ,程序 变 
量 i 在 程序 的 某 特定 点 的 值 必须 为 正 , 则 当 在 此 特定 点 之 前 分 配 其 值 为 一 1 时 ,程序 运行 到 
此 就 会 出 错 。 事实 上 ,断言 是 对 程序 进行 验证 和 调试 的 一 种 工具 。 可 以 在 任何 时 候 启 用 或 
禁用 断言 检查 ,可 以 在 测试 时 启用 断言 检查 而 实施 时 禁用 断言 检查 。 同 样 ,程序 投入 运行 
后 ,最 终 用 户 在 碰 到 问题 时 可 以 重新 启用 断言 。 因 此 ,可 以 在 软件 中 使 用 断言 检查 技术 , 防 
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止 程序 被 算 改 。 但 这 种 方法 存在 几 个 缺陷 。 首 先 ,变量 的 非 期 望 值 可 能 来 自 程序 错误 ,而 不 
是 来 自 程序 算 改 。 程 序 本 来 可 从 错误 中 恢复 ,但 这 种 防 算 改 技术 可 能 会 终止 程序 的 运行 , 降 
低 了 程序 的 容错 性 。 其 次 ,大 量 的 断言 检查 可 能 影响 程序 的 执行 效率 。 最 后 ,由 于 这 种 技术 
很 难 实现 自动 化 ,因此 将 大 大 提高 人 工 劳动 强度 。 

5) 密码 技术 

防止 某 人 修改 软件 的 最 可 靠 方 法 就 是 阻止 他 看 到 软件 代码 。 代 码 加 密 技 术 就 是 利用 密 
码 技术 ,防止 恶意 攻击 者 窥探 和 访问 软件 。 从 技术 的 角度 来 看 ,加 密 是 利用 加 密 算法 将 软件 
代码 转换 为 不 可 读 的 格式 ,从 而 达到 保护 数据 的 目的 。 普 遍 采 用 的 方法 之 一 是 利用 公 钥 算 
法 实现 的 数字 签名 技术 来 防止 应 用 软件 被 自 改 。 应 用 程序 的 源 代码 在 连接 编译 时 ,利用 程 
序 发 布 方 的 私 钥 对 其 进行 加 密 , 即 对 程序 进行 签名 ,签名 与 程序 绑 定 在 一 起 ,就 有 了 对 该 程 
序 是 否 被 算 改 进行 检验 的 依据 。 签 名 一 旦 成 功 ,就 具有 确定 性 ,无 法 伪造 ,也 不 可 否认 。 当 
然 ,程序 发 布 方 的 公 钥 应 该 公开 ,以 此 作为 程序 使 用 者 验证 签名 来 自 正确 发 布 方 的 依据 。 

另外 一 种 方法 是 利用 散 列 函 数 能 对 报 文 进行 鉴别 的 特点 ,来 有 效 监控 数据 文件 是 否 被 
非法 自 改 。 常 用 的 散 列 函数 是 MD5 和 SHA-1。 其 原理 是 : 系统 周期 性 地 对 数据 文件 利用 
散 列 函 数 产生 一 个 报 文摘 要 ,并 存储 起 来 ; 周期 性 地 将 新 的 报 文摘 要 与 旧 的 报 文摘 要 进行 
比较 ,如 果 新 旧 数 据 有 任何 不 同 , 则 说 明 所 监控 的 文件 已 被 自 改 。 

6) 代码 模糊 技术 

攻击 软件 知识 产权 的 方法 之 一 是 采用 软件 逆向 工程 方法 。 软 件 逆向 工程 ,就 是 通过 分 
析 软 件 目 标 系 统 , 认 定 系 统 的 构件 及 其 相互 关系 ,并 经 过 高 层 抽象 或 其 他 形式 来 展现 软件 目 
标 系统 的 过 程 。 逆 向 工程 人 员 通 过 反 汇 编 器 或 反 编 译 器 可 以 反 编 译 应 用 程序 ,然后 去 分 析 
它 的 数据 结构 和 控制 流 图 。 这 既 可 以 用 手工 完成 .也 可 以 借助 一 些 道 向 工具 。 只 要 应 用 程 
序 被 反 编译 过 来 ,程序 就 会 一 览 无遗 , 易 于 被 修改 。 为 防止 逆向 工程 的 威胁 ,最 有 效 的 办 法 
是 代码 模糊 , 反 编译 和 反 汇 编 则 是 另外 两 种 方法 。 

代码 模糊 ,就 是 以 某 种 方式 转换 代码 ,使 它 对 于 攻击 者 变 得 难以 阅读 和 理解 。 模 糊 处 理 
的 根本 思想 是 让 恢复 源 代码 变 得 极其 困难 。 模 糊 处 理 的 目的 主要 有 两 个 : 一 是 让 程序 难以 
被 自动 反 编译 ,二 是 程序 即使 被 成 功 反 编译 ,也 不 容易 被 阅读 理解 。 被 模糊 过 的 程序 代码 ， 
依然 遵照 原来 的 档案 格式 和 指令 集 ,执行 结果 也 与 模糊 前 一 样 , 只 是 被 模糊 后 的 程序 代码 变 
得 无 规则 ,难以 成 功 地 被 反 编 译 。 同 时 ,模糊 是 不 可 逆 的 ,在 模糊 的 过 程 中 一 些 不 影响 正常 
运行 的 信息 将 永久 丢失 ,这 些 信 息 的 丢失 使 程序 变 得 更 加 难以 阅读 和 理解 。 

代码 模糊 的 基本 方法 : 模糊 工具 运用 各 种 手段 达到 这 一 目标 ,但 主要 的 途径 是 让 变量 
名 字 不 再 具有 指示 其 作用 的 能 力 、 加 密 字符 串 和 文字 、 插 入 各 种 欺骗 指令 使 反 编译 得 到 的 代 
码 不 可 再 编译 。 

模糊 的 一 种 常见 形式 是 以 任意 的 名 称 重 新 命名 代码 中 的 所 有 变量 ,例如 将 所 有 的 变量 
从 ABC-001 开始 编号 。 但 是 ,事实 证 明 这 种 模糊 不 太 有 效 ; 为 了 解决 字符 串 明 文 带 来 的 安 
全 问题 ,大 多 数 模糊 处 理 运用 了 加 密 字 符 串 的 技术 。 由 于 解密 操作 需要 一 定 的 开销 ,所 以 运 
行 时 访问 字符 串 的 性 能 肯定 会 有 所 降低 。 

控制 流 模糊 是 一 种 用 来 误导 反 编 译 器 的 技术 , 它 在 原始 的 代码 中 插入 许多 GOTO 指 
令 ,虽然 程序 最 终 执行 的 指令 序列 仍 跟 原来 的 一 样 ,但 太 多 的 * 迁 回 动 作 ” 使 得 分 析 程 序 实 际 
的 逻辑 流程 非常 困难 。 控 制 流 模糊 的 基本 方法 可 归纳 成 如 表 12-2 所 示 。 
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表 12-2 控制 流 模 糊 的 基本 方法 


符号 模糊 控制 模糊 
(函数 、 参 
常用 模糊 方法 | 数 、 变 量 、 方 简单 “包装 ”| 重 构 控制 流 | 控制 流 被 展 数据 模糊 | 字符 串 加 密 
法 、 类 等 的 (不 可 再 现 ) | 开 重 整 
重 命名 ) 
程序 使 用 的 
标识 符 变 得 得 到 无 用 | 隐藏 了 实际 敏感 文本 被 
反 编 译 的 代码 数据 存储 方 
没有 意义 代码 的 代码 远 辑 | 被 打 乱 。 | 加 窗 
代码 很 难 理 
破坏 代码 难度 | 和 不 能 重用 | 容易 较 难 较 难 中 等 中 等 


2. 软件 访问 控制 技术 

防 算 改 的 另 一 途径 是 系统 必须 具有 相应 的 软件 访问 控制 技术 。 专 用 软件 (如 军用 软件 、 
金融 软件 等 ) 和 涉及 国家 与 部 门 核心 机 密 、 重 要 信息 系统 的 软件 都 必须 进行 访问 控制 。 所 
以 ,除了 建立 系统 (操作 系统 ) 的 访问 控制 技术 外 ,要 研究 软件 自身 访问 控制 技术 ,这 些 技 术 
可 以 相互 参照 ,如 运行 口令 ,关键 字 数字 指纹 与 签名 等 。 此 外 ,访问 控制 技术 也 针对 软件 在 
存储 介质 上 的 标记 和 物理 结构 布局 ,防止 入 侵 者 通过 对 存储 介质 的 直接 读 写 获 取 、 算 改 和 破 
坏 软件 ,这 是 结合 磁盘 文件 保护 的 研究 课题 。 

3. 软件 自 毁 技术 

自 毁 技术 是 为 某 些 特殊 敏感 性 软件 而 研究 的 ,作为 一 种 特殊 的 软件 保护 机 制 , 自 毁 技术 
研究 的 重点 是 自 毁 码 的 保密 、 自 毁 条 件 的 确认 与 控制 技术 ,以 防止 不 应 有 的 误 触 发 . 误 毁 。 
不 得 以 任何 借口 在 程序 中 设置 有 破坏 计算 机 系统 功能 的 特殊 程序 ,这 种 特殊 程序 也 就 是 常 
说 的 “人 逻辑 锁 ”“ 时 间 锁 ”, 它 们 实际 上 就 是 逻辑 炸弹 (Logic Bomb)。 例 如 ,1997 年 9 月 中 国 
公安 部 调查 鉴定 处 理 的 北京 江 民 公司 的 计算 机 病毒 清除 软件 KV300-L++ 网 络 升 级 版 中 的 
“逻辑 锁 ” 行 为 , 因 其 程序 中 含有 破坏 计算 机 功能 ( 锁 死 硬盘 ) 的 子 程序 ,该 公司 的 这 一 行为 违 
反 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 的 规定 。 因 此 ,网 络 安 全 、 计 算 机 信息 
系统 安全 是 关系 到 国家 、 集 体 和 个 人 利益 的 重要 问题 ,从 事 计算 机 信息 系统 安全 专用 产品 研 
制 的 单位 和 个 人 必须 具有 高 度 的 责任 心 和 高 尚 的 职业 道德 ,并 严格 按照 法 律 .法规 和 规章 从 
事 商 业 活 动 。 


12.3 软件 安全 性 测试 


软件 安全 性 测试 是 确定 软件 的 安全 特性 实现 是 否 与 预期 设计 一 致 的 过 程 ,包括 安全 功 
能 测试 渗透 测试 与 验证 过 程 。 软 件 安 全 性 测试 有 其 不 同 于 其 他 测试 类 型 的 特殊 性 ,安全 性 
相关 缺陷 不 同 于 一 般 的 软件 缺陷 。 一 个 很 难 发 现 的 软件 安全 漏洞 可 能 导致 大 量 用 户 受 到 影 
响 , 而 一 个 很 难 发 现 的 软件 缺陷 可 能 只 影响 很 少 一 部 分 用 户 。 安 全 性 测试 不 同 于 传统 测试 
类 型 最 大 的 区 别 是 它 强调 软件 不 应 当做 什么 ,而 不 是 软件 要 做 什么 。 非 安全 性 缺陷 常常 是 
违反 规约 , 即 软件 应 当做 A, 它 却 做 了 B。 安 全 性 缺陷 常常 由 软件 的 副作用 (side-effect) 引 


303 


304 


息 安 全 概论 


起 , 即 软件 应 当做 A, 它 做 了 A 的 同时 ,又 做 了 B。 传 统 测试 类 型 强调 软件 的 肯定 需求 
(positive requirements) ,例如 用 户 账 户 三 次 登录 失败 则 关闭 此 账户 。 安 全 性 测试 更 强调 软 
件 的 否定 需求 (negative requirements) ,例如 未 授权 用 户 不 能 访问 数据 。 

软件 安全 性 测试 可 分 为 安全 功能 测试 (security functional testing) 和 安全 漏洞 测试 
(security vulnerability testing) 两 个 方面 。 安 全 功能 测试 基于 软件 的 安全 功能 需求 说 明 , 测 
试 软件 的 安全 功能 实现 是 否 与 安全 需求 一 致 ,需求 实现 是 否 正 确 完备 。 软 件 安全 功能 需求 
主要 包括 数据 机 密 性 \ 完 整 性 、 可 用 性 、 不 可 否认 性 、 身 份 认证 ,授权 ,访问 控制 .审计 跟踪 、 委 
托 、 隐 私 保护 、 安 全 管理 等 。 安 全 漏洞 测试 从 攻击 者 的 角度 ,以 发 现 软件 的 安全 漏洞 为 目的 。 
安全 漏洞 是 指 系 统 在 设计 、 实 现 、 操 作 、 管 理 上 存在 的 可 被 利用 的 缺陷 或 弱点 。 漏 洞 被 利用 
可 能 造成 软件 受到 攻击 ,使 软件 进入 不 安全 的 状态 ,安全 漏洞 测试 就 是 识别 软件 的 安全 
漏洞 。 


12.3.1 软件 安全 功能 测试 


功能 测试 就 是 对 软件 需求 中 确定 的 有 关 安 全 模块 的 功能 进行 测试 验证 。 作 为 网 络 信息 
系统 自身 安全 建设 的 需要 ,设计 者 会 在 软件 设计 和 开发 过 程 中 增加 一 些 必 要 的 安全 防护 措 
施 ,如 权限 管理 模块 数据 加 密 模 块 ,传输 加 密 模 块 数据 备份 和 恢复 模块 等 。 对 安全 的 功能 
测试 可 以 采用 与 一 般 的 程序 功能 测试 相似 的 方法 ,如 黑 盒 测 试 方法 . 白 盒 测试 方法 或 灰 盒 测 
试 方法 等 用 例 来 进行 测试 。 

1. 形式 化 安全 测试 

形式 化 方法 的 基本 思想 是 建立 软件 的 数学 模型 ,并 在 形式 规格 说 明 请 言 的 支持 下 ,提供 
软件 的 形式 规格 说 明 。 形 式 化 安全 测试 方法 可 分 为 两 类 , 即 定理 证 明和 模型 检测 。 定 理 证 
明 方法 将 程序 转换 为 逻辑 公式 ,然后 使 用 公理 和 规则 证 明 程序 是 一 个 合法 的 定理 。 模 型 检 
测 用 状态 迁移 系统 S 描述 软件 的 行为 ,用 时 序 逻 辑 、. 计 算 树 逻 辑 或 演算 公式 F 表示 软件 执 
行 必须 满足 的 性 质 , 通 过 自动 搜索 S 中 不 满足 公式 的 状态 来 发 现 软件 中 的 漏洞 。 

NASA (National Aeronautics and Space Administration) 的 一 个 实验 室 JPL (Jet 
Propulsion Laboratory) 开 展 过 形式 化 安全 测试 方面 的 项 目 。 主 要 思路 是 建立 安全 需求 的 
形式 化 模型 ,例如 状态 机 模型 。 输 入 输出 序列 决定 安全 状态 转换 。 安 全 测试 即 搜索 状态 空 
间 , 看 是 否 能 从 起 始 状 态 找 到 一 条 路 径 到 达 违 反 规 约 的 不 安全 的 状态 。 随 着 模型 大 小 与 复 
杂 性 增长 ,状态 空间 呈 指 数 增长 ,JPL 开发 了 一 种 基于 SPIN 的 形式 化 建 模 框架 (Flexible 
Modeling Framework,FMF ) 来 解决 状态 爆炸 问题 ,并 开发 了 基于 属性 的 测试 工具 
(Property Based Tester,PBT) 。 

2. 基于 模型 的 安全 功能 测试 

基于 模型 的 测试 方法 是 对 软件 的 行为 和 结构 进行 建 模 ,生成 测试 模型 ,由 测试 模型 生成 
测试 用 例 , 驱 动 软件 测试 。 常 用 的 软件 测试 模型 有 有 限 状态 机 、UML 模型 .马尔 可 夫 链 等 。 

Mark Blackburn、Robert Busser 研究 了 基于 模型 的 安全 功能 测试 。 主 要 项 目 支 撑 是 
NIST CSD (Computer Security Division ) 部 门 的 项 目 Automated Security Functional 
Testing。 主 要 思路 是 利用 SCRModeling 工具 对 软件 的 安全 功能 需求 进行 建 模 ,使 用 表单 
方式 设计 软件 的 安全 功能 行为 模型 ,将 表单 模型 转换 为 测试 规格 说 明 模 型 ,利用 T-VEC 工 
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具 生 成 测试 向 量 (由 一 组 输入 变量 、 期 望 输出 变量 组 成 ) ,开发 测试 驱动 模式 和 目标 测试 环境 
的 对 象 映射 ,将 测试 向 量 输入 测试 驱动 模式 执行 测试 (如 图 12-3 所 示 )。 这 种 方法 是 一 种 一 
般 的 安全 功能 测试 方法 , 它 的 适用 范围 取决 于 安全 功能 的 建 模 能 力 ,特别 适用 于 建 模 用 与 或 
子 句 表达 人 逻辑 关系 的 安全 需求 ,对 授权 ,访问 控制 等 安全 功能 测试 比较 适用 。 

软件 执 


软件 安全 。 _ | 软件 安全 行 测试 
2 攻 训 一 量 球 


功能 建 模 bd 


测试 规格 
说 明 模型 


测试 驱动 模式 
图 12-3 自动 化 安全 功能 测试 处 理 流程 


3. 语法 测试 

语法 测试 是 根据 被 测 软 件 的 功能 接口 的 语法 生成 测试 输入 ,检测 被 测 软件 对 各 类 输入 
的 响应 。 接 口 可 以 有 多 种 类 型 ,如 命令 行 ,文件 环境 变量 、 套 接 字 等 。 语 法 测试 基于 这 样 一 
种 思想 ,软件 的 接口 或 明确 或 隐 含 规定 了 输入 的 语法 ,语法 定义 了 软件 接受 的 输入 数据 的 类 
型 格式。 语法 定义 可 采用 BNF 或 正则 表达 式 。 语 法 测试 的 步骤 是 识别 被 测 软件 接口 的 语 
言 , 定 义 请 言 的 语法 ,根据 语法 生成 测试 用 例 并 执行 测试 。 

生成 的 测试 输入 应 当 包 含 各 类 语法 错误 .符合 语法 的 正确 输入 \ 不 符合 语法 的 畸形 输入 
等 。 通 过 察看 被 测 软件 对 各 类 输入 的 处 理 情 况 ,确定 被 测 软件 是 否 存在 安全 缺陷 。 请 法 测 
试 适用 于 被 测 软件 有 较 明 确 的 接口 语法 ,易于 表达 语法 并 生成 测试 输入 的 情况 。 语 法 测试 
结合 故障 注入 技术 可 得 到 更 好 的 测试 效果 。 

4. 基于 故障 注入 的 安全 性 测试 

将 故障 注入 技术 用 于 软件 安全 性 测试 ,建立 软件 与 环境 交互 (Environment-Application 
Interaction, EAT) 的 故障 模型 。 故 障 注入 针对 应 用 与 环境 的 交互 点 ,主要 包括 用 户 输入 、 文 
件 系 统 、 网 络 接口 、 环 境 变量 等 引起 的 故障 。 相 关 项 目 有 OUSPG (University of Oulu， 
Secure Programming Group) 的 项 目 PROTOS Security Testing of Protocol Implementations ,该 
项 目的 目标 是 测试 协议 实现 的 安全 性 。 主 要 思路 是 通过 构造 各 类 协议 数据 包 测 试 目 标 软件 
是 否 能 正确 处 理 。 实 质 是 在 各 类 协议 数据 包 中 植 入 故障 .如 修改 某 些 协议 字段 的 值 等 ,支持 
的 协议 有 HTTP、SIP、WAP、SNMP 等 。 故 障 注 入 可 以 有 效 地 模拟 各 种 各 样 的 异常 程序 行 
为 ,通过 故障 注入 函数 能 够 强制 性 地 使 程序 进入 某 些 特定 的 状态 ,而 这 些 状态 在 采用 常规 的 
标准 测试 技术 的 情况 下 一 般 是 无 法 到 达 的 。 


12.3.2 软件 安全 漏洞 测试 


漏洞 指 软件 设计 实现 过 程 中 被 引入 的 、 在 数据 访问 或 行为 逻辑 等 方面 的 缺陷 , 它 可 能 被 
攻击 者 利用 从 而 使 程序 行为 违背 一 定 的 安全 策略 。 
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按照 检测 过 程 中 是 否 需 要 执行 程序 的 标准 ,软件 安全 漏洞 检测 技术 分 为 以 下 几 种 。 

(1) 动态 测试 。 在 程序 运行 过 程 中 注入 测试 数据 ,观察 程序 运行 是 否 正常 .输出 是 否 符 
合 程序 意图 ,达到 寻找 程序 漏洞 的 目的 。 动 态 测试 仅 关 注 程 序 运行 的 外 部 表现 ,因此 ,其 定 
位 不 准确 、 漏 报 率 高 。 

(2) 静态 检测 。 关 注 程序 的 代码 ,从 程序 代码 的 内 部 结构 和 特性 上 检测 漏洞 ,适当 地 弥 
补 了 动态 测试 的 缺陷 。 

静态 检测 技术 从 早期 的 词法 分 析 开 始 ,出 现 了 大 量 的 方法 。 早 期 静态 检测 主要 指 静 态 
分 析 , 随 着 形式 化 验证 方法 的 引入 ,静态 检测 的 概念 被 扩展 为 : 

g 戎 态 分析 。 对 被 测 程序 源 代 码 进 行 扫 描 , 从 语法 .语义 上 理解 程序 行为 ,直接 分 析 被 
测 程序 特征 ,寻找 可 能 导致 错误 的 异常 。 

@ 程序 验证 。 通 过 对 程序 代码 的 形式 化 抽象 ,使 用 形式 化 验证 技术 证 明 程 序 是 否 符合 
特定 安全 规则 ,从 而 判断 程序 是 否 存在 安全 漏洞 。 

(3) 定理 证 明 。 定 理 证 明 比 模型 检测 的 形式 化 方法 更 加 严格 ,用 各 种 判定 过 程 来 验证 
程序 抽象 公式 是 否 为 真 。 判 别 的 方法 取决 于 公式 的 形式 ,如 不 等 式 的 合 取 : 首先 由 合 取 式 
构造 成 一 个 图 , 合 取 式 中 每 个 条 件 对 应 于 图 中 的 一 个 节点 ,然后 利用 给 出 的 等 式 将 对 应 的 顶 
点 合并 ,在 顶点 合并 的 过 程 中 对 合 取 式 中 的 不 等 式 进行 检查 ,如 发 现 不 成 立 , 则 该 合 取 式 不 
可 满足 。 

(4) 符号 执行 。 符 号 执行 的 基本 思想 是 将 程序 中 变量 的 值 迎 辑 转 换 成 抽象 符号 ,模拟 
路 径 敏 感 的 程序 控制 流 , 通 过 约束 求解 的 办 法 ,检测 是 否 有 发 生 错 误 的 可 能 。 由 程序 执行 前 
的 条 件 P 出 发 ,在 程序 中 某 程序 点 ,可 推出 约束 条 件 c 人 cs 入 … A 人 cs, 因 此 在 该 点 有 PAc 人 
cz 人 … 人 csYR 这 样 的 规约 式 , 其 中 R 是 程序 结束 后 要 满足 的 条 件 。 对 该 规约 式 的 否 命 题 
求解 ,如 有 一 组 解 满足 ,说 明 在 这 个 程序 点 上 存在 一 组 变量 状态 ,使 运行 程序 的 结果 不 符 。 

符号 执行 求解 工具 的 约束 条 件 集合 及 求解 能 力 决定 了 其 发 现 错误 的 能 力 。 理 论 上 很 多 
约束 问题 在 可 接受 时 间 级 内 是 不 可 解 的 ,因此 ,符号 执行 求解 的 方法 只 适用 于 某 些 特定 问题 
求解 。 缓 冲 区 模型 其 实 就 是 将 符号 模型 局 限于 缓冲 区 数据 上 ,对 其 进行 程序 模拟 并 在 每 一 
步 试图 求解 约束 (缓冲 区 访问 长 度 小 于 缓冲 区 长 度 ) ,其 效率 在 可 接受 时 间 内 。 

1. 检测 漏洞 的 分 类 

静态 检测 关注 程序 内 部 特征 ,其 技术 特点 与 所 检测 漏洞 的 特征 密切 相关 。 软 件 安全 漏 
洞 的 分 类 方法 很 多 。 按 已 有 分 类 方法 ,漏洞 的 区 分 较为 细致 ,大 部 分 现 有 静态 检测 技术 覆盖 
的 漏洞 类 型 都 很 零散 ,很 难 在 漏洞 类 型 上 发 现 其 共性 。 

为 便于 比较 ,漏洞 分 为 : 

(1) 内 存 安全 相关 漏洞 。 关 注 数据 流 上 的 错误 ,通常 由 某 些 不 正确 的 内 存 存储 状态 或 
使 用 情况 导致 。 

(2) 内 存 相关 的 安全 漏洞 。 涉 及 数据 和 类 型 的 正确 性 ,因此 ,对 于 这 一 类 漏洞 的 检测 关 
键 在 于 存储 空间 的 建 模 。 

时 序 安全 相关 漏洞 关注 控制 流 上 的 错误 ,往往 由 某 些 安全 相关 行为 之 间 的 不 正确 执行 
顺序 导致 。 时 序 相关 的 安全 漏洞 涉及 程序 行为 的 时 间 关 系 ,因此 ,只 有 偏 序 特性 的 方法 才能 
检测 。 

根据 这 种 划分 ,由 于 静态 检测 方法 的 技术 特征 不 同和 对 漏洞 的 理解 不 同 , 某 些 方法 只 进 


第 12 章 计算 机 软件 安全 


行 一 类 漏洞 的 检测 ,而 有 些 方法 则 可 以 检测 两 类 漏洞 。 

2. 检测 技术 

从 早期 的 缓冲 区 溢出 检测 开始 ,十 几 年 来 出 现 了 各 种 检测 技术 ,以 下 分 程序 静态 分 析 和 
程序 抽象 验证 两 类 来 介绍 。 

1) 静态 分 析 

静态 分 析 方 法 直接 扫描 程序 代码 ,提取 程序 关键 语法 ,解释 其 语义 ,理解 程序 行为 ,根据 
预先 设 定 的 漏洞 特征 、 安 全 规则 等 检测 漏洞 。 

(1) 词法 分 析 。 词 法 分 析 是 最 早出 现 的 静态 分 析 技术 , 它 仅仅 进行 语法 上 的 检查 。 词 
法 分 析 把 程序 划分 为 一 个 个 片断 ,再 把 每 个 片断 与 一 个 “嫌疑 数据 库 ? 进 行 比较 ,如 果 属 于 嫌 
疑 , 则 进一步 实行 启发 式 判 断 。 词 法 分 析 可 以 检查 的 漏洞 较 少 ,往往 只 是 一 些 已 知 的 固定 漏 
洞 代码 , 漏 报 率 相当 高 。 

(2) 规则 检查 。 程 序 本 身 的 安全 性 可 由 安全 规则 描述 。 程 序 本 身 存在 一 些 编程 规则 ， 
即 一 些 通用 的 安全 规则 ,也 称 之 为 漏洞 模式 ,比如 程序 在 root 权限 下 要 避免 exec 调用 。 规 
则 检查 方法 将 这 些 规则 以 特定 语法 描述 ,由 规则 处 理 器 接收 ,并 将 其 转换 为 分 析 器 能 够 接受 
的 内 部 表示 ,然后 再 将 程序 行为 进行 比 对 、 检 测 。 

(3) 类 型 推导 。 自 动 推导 程序 中 变量 和 函数 的 类 型 ,来 判断 变量 和 函数 的 访问 是 否 符 
合 类 型 规则 。 静 态 漏洞 检测 的 类 型 推导 由 定型 断言 .推导 规则 和 检查 规则 三 个 部 分 组 成 。 
定型 断言 定义 变量 的 初始 类 型 ,推导 规则 提供 了 推论 系统 的 规则 集合 ,检查 规则 用 于 判定 推 
论 结果 是 否 为 “ 良 行为 ”。 

基于 类 型 推导 的 静态 分 析 方 法 适用 于 控制 流 无 关 的 分 析 。 但 对 于 控制 流 相关 的 特性 则 
需要 引入 类 型 限定 词 和 子 类 型 的 概念 来 扩展 源 语言 的 类 型 系统 ,使 得 新 类 型 系统 在 源 语 言 
的 数据 类 型 上 加 以 扩展 并 表示 出 类 型 之 间 的 关系 。 类 型 限定 词 将 变量 类 型 表示 的 值 的 集合 
划分 为 几 个 互 不 相交 的 子 集 ( 子 类 型 ) ,表示 不 同安 全 级 别 。 子 类 型 变量 可 在 任何 时 候 替 换 
父 类 型 变量 ,反之 不 可 。 利 用 类 型 限定 关系 可 检测 出 越权 限 的 访问 错误 。 

2) 程序 验证 

程序 验证 方法 通过 抽象 程序 得 到 形式 化 程序 或 模型 ,然后 使 用 形式 化 验证 技术 进行 检 
验证 明 ,通过 验证 正确 性 的 方式 来 检测 漏洞 。 

(1) 模型 检测 。 模 型 检测 对 有 限 状态 的 程序 构造 状态 机 或 有 向 图 等 抽象 模型 ,再 对 模 
型 进行 遍历 以 验证 系统 特性 。 一 般 有 两 种 验证 方式 。 

g@ 符号 化 方法 将 抽象 模型 中 的 状态 转换 为 语法 树 描述 的 逻辑 公式 ,然后 判定 公式 是 否 
可 满足 。 

@ 模型 转换 成 自动 机 ,并 将 需要 检查 的 安全 时 序 属性 转换 为 等 价 自动 机 ,再 将 这 两 个 
自动 机 取 补 ,构成 一 个 新 的 自动 机 ,判定 问题 就 变 成 检查 这 个 新 自动 机 能 接受 的 语言 是 否 
为 空 。 

模型 检测 需要 列举 所 有 可 能 状态 ,由 于 软件 本 身 的 高 复杂 度 , 对 所 有 程序 点 进行 建 模 可 
能 会 使 模型 规模 庞大 ,因此 一 般 只 针对 程序 中 某 一 方面 属性 构造 抽象 模型 。 近 期 出 现 的 一 
种 模型 检测 方法 通过 对 内 存 状态 的 建 模 ,从 而 使 原先 主要 检测 时 序 相关 漏洞 的 模型 检测 方 
法 可 对 内 存 相关 漏洞 进行 相关 检测 。 

(2) 定理 证 明 。 定 理 证 明 比 模型 检测 的 形式 化 方法 更 加 严格 ,用 各 种 判定 过 程 来 验证 
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程序 抽象 公式 是 否 为 真 。 判 别 的 方法 取决 于 公式 的 形式 ,如 不 等 式 的 合 取 : 首先 由 合 取 式 
构造 成 一 个 图 , 合 取 式 中 每 个 条 件 对 应 于 图 中 的 一 个 节点 ,然后 利用 给 出 的 等 式 将 对 应 的 顶 
点 合并 ,在 顶点 合并 的 过 程 中 对 合 取 式 中 的 不 等 式 进行 检查 ,如 发 现存 在 不 成 立 , 则 该 合 取 
式 不 可 满足 。 

(3) 符号 执行 。 符 号 执行 的 基本 思想 是 将 程序 中 变量 的 值 逻 辑 转换 成 抽象 符号 ,模拟 
路 径 敏感 的 程序 控制 流 ,通过 约束 求解 的 办 法 ,检测 是 否 有 发 生 错误 的 可 能 。 由 程序 执行 前 
的 条 件 了 出 发 ,在 程序 中 某 程序 点 ,可 推出 约束 条 件 c 人 cs 人 … 人 Ac, 因此 在 该 点 有 PAc A 
人 A… 人 Ac->R 这 样 的 规约 式 ,其 中 R 是 程序 结束 后 要 满足 的 条 件 。 对 该 规约 式 的 否 命题 
求解 ,如 有 一 组 解 满足 ,说 明 在 这 个 程序 点 上 存在 一 组 变量 状态 ,使 运行 程序 的 结果 不 符 。 

符号 执行 求解 工具 的 约束 条 件 集合 及 求解 能 力 决定 了 其 发 现 错误 的 能 力 。 理 论 上 很 多 
约束 问题 在 可 接受 时 间 级 内 是 不 可 解 的 ,因此 ,符号 执行 求解 的 方法 只 适用 于 某 些 特定 问题 
求解 。 

3. 检测 方法 的 比较 

大 多 数 静 态 检测 方法 往往 不 是 独立 使 用 的 ,目前 使 用 的 很 多 检测 工具 常常 同时 使 用 多 
种 检测 方法 。 例 如 , 常 说 的 “数据 流 分 析 ” 工 具 , 其 实 是 类 型 推导 和 规则 检查 两 种 技术 的 共同 
运用 ,同时 伴 有 符号 执行 的 某 些 特征 。 表 12-3、 表 12-4 比较 了 主要 静态 检测 方法 适用 的 漏 
洞 类 型 和 优 缺 点 。 


表 12-3 ”程序 分 析 
检测 方法 检测 漏洞 优 点 缺 点 
词法 分 析 ”内 存 相 关 效率 高 分 析 不 精确 ,漏洞 覆盖 有 限 
类 型 推导 ”大 部 分 内 存 相 关 , 少 ”能 处 理 大 规模 程序 ,效率 高 可 检查 漏洞 有 限 , 引 入 安全 属 
量 时 序 相关 性 需 重新 定义 类 型 
规则 检查 。 内存 相关 ,时 序 相关 能 根据 不 同 规则 对 不 同系 统 进 ” 受 规则 描述 机 制 局 限 ,只 能 分 
行 分 析 , 大 规模 程序 检测 高 效 析 特 定 类 型 漏洞 ,扩展 性 差 
表 12-4 程序 验证 
检测 方法 检测 漏洞 优 点 缺 点 
模型 检测 。 ”大 部 分 时 序 相关 ,少量 ”能够 严格 检测 程序 时 序 上 的 ”可 能 造成 状态 空间 爆炸 
内 存 相关 漏洞 ,通过 模型 将 漏洞 放大 
定理 证 明 内存 相关 ,时 序 相关 使 用 严格 的 推理 证 明 控 制 检 ”对 某 些 域 上 的 公式 推理 缺乏 适 
测 的 进行 , 误 报 率 低 用 性 ,对 新 漏洞 扩展 性 不 高 
符号 执行 。 内 存 相 关 精确 地 静态 模拟 程序 执行 ,能 ”程序 执行 的 可 能 路 径 随 着 程序 
发 现 程序 中 细微 的 逻辑 错误 。 ”规模 增 大 呈 指 数 级 增长 


程序 验证 比 程序 分 析 的 理论 基础 更 加 严格 ,但 其 运行 成 本 也 更 高 。 在 程序 全 局 性 的 检 
测 上 ,程序 验证 的 效果 更 加 突出 ,而 在 程序 局 部 性 的 检测 上 ,程序 分 析 更 为 高 效 。 

在 程序 分 析 中 ,词法 分 析 关 注 程 序 表面 特征 ,过 于 简单 ; 类 型 推导 和 规则 检查 需要 人 工 
进行 辅助 定义 类 型 和 规则 ,扩展 性 自动 性 差 , 可 检查 漏洞 也 有 限 , 但 检测 效率 更 高 。 

程序 验证 方面 ,模型 检测 的 实用 性 已 经 得 到 实践 证 明 ,但 其 时 序 特性 决定 了 其 漏洞 类 型 
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的 局 限 性 ; 定理 证 明 需 要 使 用 者 具有 良好 的 理论 素质 ,专业 性 较 强 ,目前 还 没有 较 广泛 地 实 
现 , 效 率 也 有 待 改 进 ; 符号 执行 将 程序 验证 的 严谨 证 明和 程序 分 析 的 模拟 扫描 结合 起 来 ,但 
同样 具有 验证 复杂 、 效 率 不 高 的 缺点 。 

静态 检测 只 能 检测 已 知 的 漏洞 类 型 。 由 于 缺乏 通用 的 漏洞 描述 机 制 ,因此 : 

(1) 对 未 知 的 漏洞 ,无 法 利用 已 知 的 漏洞 特征 对 其 进行 规范 描述 ; 

(2) 对 于 已 知 的 漏洞 ,目前 也 很 难 有 一 种 检测 技术 可 以 达到 完全 的 覆盖 率 。 

静态 检测 另外 一 方面 的 缺点 是 性 能 不 足 。 静 态 检 测 的 精确 度 同 运行 时 间 和 空间 消耗 成 
正比 ,因此 ,提高 检测 质量 的 同时 会 增加 运行 成 本 。 

静态 检测 技术 衡量 的 两 个 重要 指标 为 漏 报 率 (false negative rate) 和 误 报 率 (false positive 
rate) 。 

降低 其 中 之 一 的 同时 往往 会 造成 另外 一 个 指标 的 增高 。 

4. 静态 检测 工具 

从 2000 年 开始 ,静态 检测 工具 大 量 出 现 。 在 此 之 前 ,曾经 出 现 了 Lint(1978)、ESC(1995) 
和 LClint(1994) ,这 些 为 后 来 的 大 部 分 工具 起 了 葛 基 作用 ,但 其 本 身 并 没有 太 多 的 实际 使 用 
价值 。 

(1) Lint 提供 了 最 初 的 规则 检查 思想 。 

(2) LClint 在 其 上 加 以 了 改进 ,但 需要 用 户 手 动 加 入 注释 以 描述 意图 。 

(3) ESC 则 提供 了 抽象 数据 流 符 号 执行 的 早期 思想 。 

2000 年 ,出 现 了 词法 分 析 工 具 ITS4、 符 号 执行 的 工具 BOON 和 PREfix. 一 个 简单 的 模 
型 检测 工具 Bandera。 此 时 的 符号 执行 仅仅 只 是 简单 地 抽象 数据 ,而 模型 检测 Bandera 也 只 
是 针对 Java 语言 建立 简单 的 有 穷 状态 模型 。 

2001 一 2002 年 ,静态 检测 工具 迅速 发 展 。 词 法 分 析出 现 了 分 析 更 加 准确 的 RATS, 符 
号 执行 方面 则 出 现 了 抽象 更 加 完备 的 Mjolnir, 在 模型 检测 方面 出 现 了 MOPS 和 SLAM 等 
经 典 工 具 ,规则 检查 方面 也 出 现 了 更 为 自动 化 的 MC 和 Splint。 

同时 还 出 现 了 定理 证 明 工 具 Eau Claire 和 几 个 类 型 推导 工具 CQual .CCured ESP。 静 
态 检测 主要 技术 在 这 两 年 都 已 经 具有 雏形 。 

(1) 2003 年 ,出 现 了 BLAST 和 RacerX, BLAST 在 模型 检测 方面 进行 了 优化 ,而 
RacerX 为 竞争 条 件 漏 洞 检测 提供 了 更 好 的 方法 。 

(2) 2005 年 出 现 了 STLlint 和 Check”n?Crash, 再 次 推动 了 符号 执行 技术 的 发 展 。 

(3) 2005 年 出 现 了 定理 证 明 工 具 Cogent。 

按 所 述 技术 对 常见 静态 检测 工具 进行 了 归 类 ,对 应 关系 见 表 12-5。 


表 12-5 静态 检测 工具 使 用 技术 


静态 检测 技术 主要 静态 检测 工具 
词法 分 析 ITS4, Rats 
类 型 推导 CCured, ESP, CQual 
规则 检查 MC, LCLint, Lint, RacerX, Splint 
模型 检测 Bandera, BLAST, MOPS, SLAM 
定理 证 明 Cogent, EauClaire 


符号 执行 Mjolnir, ESC, C’n’C, BOON, STLlint, PREfix 
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静态 检测 技术 目前 的 发 展 趋 势 是 将 静态 检测 的 各 种 技术 进行 结合 ,以 提高 性 能 。 

结合 有 以 下 两 种 方法 。 

(1) 提供 一 个 框架 ,使 用 不 同 检测 技术 对 程序 进行 检测 ,获取 大 量 检 测 结果 之 后 进行 分 
析 。 从 误 报 率 来 说 ,使 用 多 种 技术 的 检测 结果 的 交集 来 进行 漏洞 判断 决策 ,可 减少 误 报 率 ; 
从 漏 报 率 来 说 ,对 于 同一 种 漏洞 ,使 用 多 种 检测 技术 的 结果 的 并 集 可 以 减少 漏 报 率 。 

(2) 直接 在 检测 技术 上 结合 ,通过 技术 的 结合 来 得 到 新 的 方法 ,如 在 符号 执行 的 过 程 中 
加 入 类 型 推导 的 技术 ,在 变量 模拟 执行 的 过 程 中 增加 其 类 型 特征 的 推导 ,可 获取 更 高 的 漏洞 
检测 率 。 

除了 多 种 静态 检测 技术 的 结合 ,还 出 现 了 动态 和 静态 检测 相 结合 的 方法 。SD(Static- 
Dynamic) 方 法 先 使 用 静态 方法 对 程序 进行 分 析 得 到 程序 内 部 特征 ,从 而 筛选 测试 数据 集 以 
指导 下 一 轮 的 动态 测试 。DSD 方法 在 第 一 轮 静 态 测试 前 进行 一 次 动态 测试 ,以 排除 某 些 不 
可 能 达到 的 输入 情况 ,简化 静态 检测 的 复杂 度 。 


12.3.3 安全 性 测试 工具 分 类 与 功能 


安全 性 测试 工具 以 自动 化 或 半自动 化 的 方式 验证 系统 安全 功能 运行 是 否 正确 、 安 全 机 
制 是 否 有 效 和 查找 潜在 的 安全 漏洞 ,可 有 效 提高 测试 效率 ,降低 软件 安全 风险 ,近年 来 涌现 
了 大 量 功能 强大 的 安全 性 测试 工具 。 

安全 性 测试 工具 可 采取 多 种 分 类 方法 。 一 个 好 的 分 类 方法 应 满足 明确 性 、 正 交 性 、 客 观 
性 、 易 使 用 性 .广泛 性 等 要 求 。 根 据 测 试 对象 的 层次 可 分 为 主机 安全 测试 工具 、 网 络 安全 测 
试 工具 、 应 用 安全 测试 工具 ,但 以 上 分 类 方法 粒度 较 粗 且 对 每 类 工具 的 功能 、 特 点 、 属 性 难以 
识别 ,不 利于 测试 人 员 对 测试 工具 的 选择 。 本 书 根据 安全 测试 工具 的 不 同 功 能 将 安全 测试 
工具 分 为 11 类 ,分 别 是 源 代码 分 析 器 、 字 节 码 扫描 器 、 二 进 制 代 码 扫描 器 、 数 据 库 脆弱 性 扫 
描 器 、 网 络 漏洞 扫描 器 、Web 应 用 漏洞 扫描 器 、Web 服务 扫描 器 动态 分 析 工 具 、 配 置 分 析 工 
具 、 需 求 验 证 工具 、 设 计 模 型 验证 工具 。 

静态 源 代码 分 析 器 扫描 源 代码 匹配 安全 缺陷 代码 模式 ,可 检测 缓冲 区 溢出 、 格 式 化 字符 
串 .竞争 条 件 等 安全 漏洞 。 较 高 级 的 源 代 码 分 析 器 对 代码 执行 数据 流 分 析 控制 流 分 析 以 降 
低 误 报 率 ,并 根据 安全 漏洞 类 型 或 优先 级 生成 问题 报告 。 字 节 码 扫描 器 工作 原理 与 源 代码 
分 析 器 类 似 , 不 同 的 是 它 的 扫描 对 象 是 Java 字 节 码 , 通 过 扫描 字 节 码 中 漏洞 模式 发 现 可 能 
的 安全 漏洞 。 二 进 制 代码 扫描 器 采用 反 汇 编 技术 与 模式 识别 技术 扫描 可 执行 的 二 进 制 代 码 
或 DLL 文件 发 现 安全 漏洞 。 优 点 是 可 以 脱离 源 代码 ,执行 更 低层 次 的 安全 性 测试 。 缺 点 是 
受 限于 逆向 工程 与 反 汇 编 技 术 , 误 报 率 较 高 。 数 据 库 脆弱 性 扫描 器 是 一 类 专用 于 查找 数据 
库 应 用 程序 安全 问题 的 工具 ,典型 地 充当 SQL 客户 端 执 行 各 种 SQL 查询 ,查找 数据 库 安全 
配置 相关 弱点 ,例如 弱 口 令 、 授 权 、 访 问 控制 等 。 数 据 库 脆弱 性 扫描 器 存在 两 种 典型 工作 模 
式 , 即 渗透 攻击 模式 和 审计 模式 。 这 种 工具 优点 是 易于 使 用 ,发 现 数据 库 用 户 管理 ,权限 管 
理 , 认 证 等 配置 管理 相关 安全 漏洞 比较 有 效 ,缺点 是 对 数据 库 中 敏感 数据 缺乏 语义 上 的 理 
解 。 网 络 漏洞 扫描 器 远程 扫描 目标 主机 开放 的 端口 .运行 的 服务 、 操 作 系 统 类 型 等 ,发 现 操 
作 系 统 、 服 务 软件 、 网 络 协议 相关 的 安全 漏洞 。Web 应 用 漏洞 扫描 器 模拟 Web 客户 端 , 执 
行 特权 URL 扫描 脆弱 CGI 扫描 等 。 典 型 地 记录 HTTP 交互 ,并 在 后 续 交 互 中 注入 恶意 
负载 ,观察 响应 数据 。Web 应 用 漏洞 扫描 器 可 有 效 发 现 跨 站 脚本 、SQL 注入 .目录 遍历 、 
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Cookie 中 毒 等 安全 漏洞 。Web 服务 扫描 器 是 一 类 较 新 的 安全 测试 工具 ,专用 于 测试 Web 
服务 的 安全 功能 并 识别 Web 服务 的 安全 漏洞 。 典 型 功能 有 扫描 WSDL 文件 ,列举 Web 服 
务 提供 的 方法 ,生成 各 种 输入 参数 操纵 方法 调用 ,测试 XML 消息 加 密 、XML 消息 签名 、 签 
名 验证 等 安全 功能 ,WSSecurity 安全 规范 一 致 性 测试 。 动 态 分 析 工 具 是 在 软件 运行 时 构造 
异常 场景 ,测试 软件 是 否 存 在 安全 缺陷 。 典 型 功能 有 截获 系统 调用 ,记录 函数 执行 信息 , 执 
行 边 界 检查 ,执行 文件 系统 、 网 络 接口 ,系统 资源 等 故障 注入 ,识别 内 存 泄 漏 .竞争 条 件 .不 可 
达 代 码 、 类 型 不 匹配 等 安全 问题 。 配 置 分 析 工具 对 应 用 程序 配置 文件 .主机 配置 文件 .应 用 
服务 器 配置 文件 执行 静态 分 析 ,发 现 配 置 相 关 安 全 问题 。 需 求 验证 工具 用 来 验证 软件 安全 
需求 说 明 的 正确 性 、 完 备 性 ,一 致 性 ,准确 性 。 设 计 模 型 验证 工具 用 来 验证 软件 的 设计 模型 
是 否 存 在 安全 缺陷 。 各 类 安全 性 测试 工具 如 表 12-6 所 示 。 


表 12-6 主流 安全 性 测试 工具 分 类 


工具 类 型 商 用 开源 或 免费 
Fortify Software 公司 的 Source Code Analysis Suite; Ounce 
Labs 实验 室 的 Prexis; Secure Software 公司 的 CodeAssure; 
Klocwork 公司 的 K7; Coverity 公司 的 Prevent; Compuware 
公司 的 DevPartner SecurityChecker; Parasoft 公司 的 C++ 
源 代 码 分 析 器 [Test JTest 、TEST、WebKing; CenterLine Systems 公司 的 
CodeCenter; CodeScan Labs 实验 室 的 CodeScan; 
GrammaTech 公司 的 CodeSonar; SPI Dynamics 公司 的 
DevInspect; SofCheck 公司 的 SoftCheck Inspector; 
PolySpace Technologies 公司 的 PolySpace 


Rough Auditing Tool for 
Security (RATS); lawFinder; 
BOON; ASTREE; C Code 
nalyzer (CCA); Csur; CQual; 
Jlint; ITS4; Splint; UNO; 
LAPSE; PHP-Sat; PMD 


字 节 码 扫描 器 | LogicLab 公司 的 BugScan FindBugs 

二 进 制 代码 扫 | Aspect Security 公司 的 AspectCheck; Security Innovation Copy Bog Sort 
描 器 公司 的 BEAST; LogicLab 公司 的 BugScan 

数据 库 脆弱 性 | Application Security 公司 的 AppDetective; Internet en ee 

扫描 器 Security Systems 公司 的 Database Scanner 


Internet Security Systems 公司 的 Internet Security 
Scanner; NTObjectives 公司 的 NTOSpider; GFI 公司 的 
GFILANguard; eEye 公司 的 Retina; Advanced Research 
Corporation 公司 的 Security Auditor's Research Assistant 
(SARA); Saintcorporation 公司 的 SAINT 

SPI Dynamics 公司 的 WebInspect; Watchfire 公司 的 
Web 应 用 漏 | AppScan; N-Stalker 公司 的 N-Stalker Web Application 
洞 扫描 器 Security Scanner; Acunetix 公司 的 Acunetix Web 
Vulnerability Scanner; portswigger. net 公司 的 Burp suite 
Parasoft 公司 的 SOATest; Vordel 公司 的 SOAPbox; 
Optimyz 公司 的 WebServiceTester; CrossCheck 公司 的 
Web 服务 扫 | SOAPSonar; Forum Systems 公司 的 XRay Diagnosis; | FoundstoneWSDigger; 
描 器 MindReef 公司 的 SOAPScope; Empirix 公司 的 eTEST | Pushtotest TestMaker 
suite for Web ServicesTesting; AdventNet 公司 的 
QEngine; ITKO 公司 的 LISA Complete SOA Test Suite 


网 络 漏洞 扫 
描 器 


NMAP; Nessus; SuperScan; 
Metasploit Framework 


OWASP WebScarab; OWASP 
Berretta; Nikto; Wikto; Paros 
ProxySpike Proxy; EOR; Pantera 


Foundstone . NETMon; CLR 
Profiler; NProf 

Foundstone 

SSLDigger; PermCalc 


动态 分 析 工 具 | Compuware BoundsChecker 


配置 分 析 工 具 | Desaware CAS/Tester 


设计 验证 工具 | SDMetrics 公司 的 SDMetrics 
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12.4 软件 安全 工程 


软件 安全 工程 的 任务 是 : 

(1) 运用 系统 安全 工程 的 原则 来 优化 软件 安全 ,并 通过 分 析 、 设 计 和 管理 进程 来 识别 和 
控制 与 软件 相关 的 危险 。 和 危险 分 析 包 括 两 个 方面 : DD 分 析 会 进入 一 个 危险 状态 的 可 能 性 ; 
@ 分 析 导 致 一 个 miscap 的 危险 及 其 后 果 的 严重 性 。 前 者 称 为 危险 可 能 性 分 析 , 后 者 称 为 危 
险 关键 性 分 析 。 

(2) 清除 设计 中 达到 不 可 接受 等 级 的 并 已 识别 的 危险 ,如 果 不 能 消除 , 则 应 将 危险 的 关 
键 性 等 级 降低 到 一 个 可 接受 的 水 平 。 

软件 安全 工程 的 活动 , 按 系 统 与 软件 开发 的 各 生命 周期 的 阶段 来 划分 ,主要 分 为 软件 安 
全 需求 分 析 与 制定 、 软 件 安全 设计 、 软 件 安全 编码 .软件 安全 检测 .安全 培训 和 安全 监理 等 。 


12.4.1 软件 安全 需求 分 析 与 制定 


软件 安全 需求 分 析 与 制定 阶段 有 三 个 任务 : 四 写 出 软件 安全 需求 定义 ; 加 对 洪 在 的 危 
险 进行 软件 需求 危险 分 析 (Soft-ware Requirements Hazard Analysis, SRHA); @ 根 据 
QO@@, 写 出 (或 修订 ) 初 步 的 较 详细 的 软件 安全 需求 文档 。 

软件 需求 危险 分 析 开 始 于 系统 生命 周期 的 需求 阶段 。 基 本 临界 危险 表 (Preliminary 
Hazard List,PHL) 和 基本 和 危险 分 析 (Preliminary Hazard Analysis, PHA) 中 的 数据 是 软件 
需求 危险 分 析 的 输入 数据 。PHL 建立 于 系统 生命 周期 的 概念 定义 阶段 。 它 用 来 识别 系统 
危险 的 可 能 发 生 区 域 。PHA 用 来 评估 一 个 系统 的 危险 ( 即 可 能 性 、 关 键 性 )。SRHA 用 于 
确定 软件 安全 需求 定义 的 正确 性 。SRHA 开始 于 系统 生命 周期 的 系统 需求 阶段 ,检查 系统 
和 软件 需求 文档 和 程序 文档 。SRHA 的 分 析 结果 将 应 用 到 系统 说 明 、 软 件 需求 说 明 、 软 件 
设计 文档 软件 测试 计划 、 软 件 配 移 管理 计划 和 工程 管理 计划 中 去 。 


12.4.2 软件 安全 设计 


软件 安全 设计 阶段 有 两 个 任务 。 

(1) 进行 软件 设计 危险 分 析 (Software Design Hazard Analysis,SDHA) ,识别 对 于 安全 
性 至 关 重要 的 软件 组 件 , 确 保 设计 的 正确 性 和 完整 性 。PHA、PHL .设计 信息 、SRHA 都 是 
软件 设计 和 危险 分 析 的 输入 数据 。SDHA 定义 和 分 析 对 于 安全 性 至 关 重 要 的 软件 组 件 ( 即 评 
估 它 们 的 危险 程度 和 与 其 他 组 件 的 关系 ) ,分 析 设 计 与 测试 计划 (确保 设计 中 正确 地 定义 了 
安全 需求 ) ,更 新 软件 设计 文档 (消除 危险 或 减轻 危险 的 程度 ) ,并 把 安全 需求 集成 到 软件 测 
试 计划 中 ,提出 编码 建议 。 

(2) 软件 安全 设计 。 仅 靠 分 析 和 证 实 不 可 能 确保 一 个 系统 的 安全 ,还 需 进 行 专门 的 软 
件 安全 设计 。 软 件 安全 设计 的 三 个 原则 为 : 防止 危险 发 生 或 尽量 降低 危险 发 生 率 ; 假如 和 危 
险 发 生 ,使 用 自动 化 的 安全 设备 控制 危险 发 生 率 ; 提供 有 关 危 险 的 警告 设备 .过 程 和 有 助 于 
人 为 反应 的 训练 。 

软件 安全 设计 时 ,还 应 注意 两 个 方面 : 四 设计 时 提供 的 证 明 措施 必须 具备 最 小 化 的 证 
实 量 和 尽量 简化 的 证 实 过 程 ; @ 提 高 安全 性 的 设计 时 必须 仔细 考虑 所 增加 的 复杂 度 。 
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12.4.3 软件 安全 编码 


经 过 良好 设计 的 .具有 良好 习惯 的 编程 风格 的 代码 ,相对 来 说 ,也 具有 较 好 的 安全 性 。 
通常 良好 的 编码 风格 有 : 使 用 安全 的 函数 ; 对 输入 的 参数 进行 校 验 ; 开发 完成 后 ,进行 完备 
的 单元 测试 ,包括 边界 测试 .语句 覆盖 测试 ; 开发 完成 后 ,确认 错误 和 异常 情况 被 正确 地 处 
理 ; 修改 代码 的 同时 ,确保 注释 和 文档 进行 了 相应 的 修改 ; 在 代码 集成 和 引用 方面 还 应 注 
意 不 使 用 没有 许可 证 权限 的 代码 。 

1. 使 用 安全 的 函数 

在 调用 某 些 函数 时 有 一 些 常 见 问 题 。 尽 管 某 种 函数 的 调用 可 能 与 安全 性 无 关 , 但 如 果 使 
用 不 当 , 仍 会 导致 不 易 发 觉 的 安全 隐患 。 如 CopyMemory、CreateProcess、CreateProcessAsUser、 
CreateProcessWithLogon、memcpy、sprintf、swprintf 等 函数 在 安全 性 方面 尤其 要 值得 注意 。 

2. 控制 程序 改动 的 步骤 

为 最 小 化 信息 系统 的 错误 ,执行 改动 时 要 进行 严格 控制 。 应 当 实 行 正规 的 改动 控制 步 
又 ,确保 安全 和 控制 步 又 不 被 损害 。 负 责 支持 的 程序 员 应 只 对 那些 对 工作 必要 的 部 分 系统 
享有 访问 权 , 并 且 确 保 改动 已 获得 正式 批准 和 同意 。 该 过 程 应 包括 : 

(1) 保留 一 份 已 达成 协议 的 授权 级 别 的 记录 。 

(2) 确保 改动 由 经 过 授权 的 用 户 提出 。 

(3) 对 控制 和 步骤 的 完整 性 进行 复审 ,确保 不 会 因为 改动 而 受到 损害 。 

(4) 检查 所 有 需要 修改 的 计算 机 软件 .信息 .数据库 实体 和 硬件 。 

(5) 在 改动 前 ,应 获得 对 详细 建议 的 批准 。 

(6) 确保 在 任何 改动 实施 前 ,被 授权 的 用 户 接受 这 些 改动 。 

(7) 确保 实施 改动 是 为 了 减少 业务 中 断 。 

(8) 确保 系统 文档 组 在 每 一 个 改动 完成 后 都 做 了 更 新 , 旧 文档 被 存 和 人 档案 或 被 处 理 。 

(9) 为 所 有 软件 更 新 保留 一 个 版 本 控制 。 

(10) 对 所 有 的 改动 请 求 保留 一 份 以 备 审查 。 

(11) 确保 在 正确 的 时 间 进 行 改动 ,不 能 扰乱 所 涉及 的 业务 过 程 。 

3. 对 操作 系统 改动 的 技术 复审 


定期 地 改动 操作 系统 是 有 必要 的 ,如 为 了 安装 一 个 新 的 软件 版 本 或 补丁 。 在 改动 后 ,应 
当 对 应 用 系统 进行 复审 和 测试 ,确保 改动 对 操作 或 安全 没有 负面 影响 。 这 个 过 程 应 当 包 括 : 

(1) 对 应 用 程序 控制 和 步骤 完整 性 的 复审 ,确保 它们 不 因 操作 系 统 的 改动 而 受到 损害 。 

(2) 确保 年 度 的 支持 计划 和 财政 预算 中 包括 了 对 这 些 操作 系统 改动 的 复审 和 系统 
测试 。 

(3) 确保 及 时 通知 对 操作 系统 的 改动 ,使 得 在 改动 实施 前 能 够 进行 适当 的 复审 。 

(4) 确保 业务 连续 性 计划 做 了 恰当 的 改动 。 

4. 对 软件 包 改 动 的 限制 

在 使 用 中 应 当 尽 量 不 要 修改 厂商 提供 的 软件 包 。 如 果实 在 要 修改 ,应 当 考 虑 以 下 几 方 面 : 

(1) 软件 内 置 的 控制 和 完整 性 步骤 被 损害 的 风险 。 

(2) 是 否 应 当 得 到 厂商 的 同意 。 
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(3) 从 厂商 那里 得 到 所 需 改 动 的 程序 更 新 的 可 能 性 。 

(4) 将 原来 的 软件 保留 ,对 该 软件 的 副本 实 进行 改动 。 

5. 隐蔽 通道 和 特洛伊 程序 

隐蔽 通道 可 以 通过 一 些 间接 的 、 隐 藏 的 手段 来 暴露 信息 , 它 可 以 通过 改变 一 个 参数 来 被 
激活 ,而 这 些 参数 无 论 对 于 安全 的 还 是 不 安全 的 计算 系统 都 是 可 访问 的 ,也 可 以 通过 在 数据 
流 中 幅 入 信息 来 激活 隐 项 通道 。 特 洛 伊 程 序 被 设计 成 以 一 种 非法 的 .不 易 被 注意 的 ,不 是 程 
序 用 户 和 接收 人 所 必需 的 形式 来 侵入 系统 。 应 考虑 从 以 下 方面 进行 控制 : 

(1) 只 从 声誉 好 的 程序 提供 者 处 购买 程序 。 

(2) 以 源 代码 的 形式 购买 程序 ,使 得 程序 可 以 被 检验 。 

(3) 使 用 经 过 安全 评估 的 产品 。 

(4) 在 操作 使 用 前 审查 所 有 源码 。 

(5) 程序 安装 好 后 ,对 它 的 访问 和 修改 要 进行 控制 。 

(6) 聘用 经 过 安全 考核 的 员工 进行 关键 系统 的 管理 。 

6. 外 包 软 件 的 开发 

软件 开发 的 工作 由 外 部 的 人 员 或 单位 承担 时 ,应 当 从 以 下 几 方 面 进行 安全 考虑 : 

(1) 许可 证 问题 ,程序 的 所 有 权 和 知识 产权 问题 。 

(2) 对 所 进行 工作 的 质量 和 准确 度 的 保证 问题 。 

(3) 对 软件 开发 的 质量 和 准确 度 审查 的 权利 。 

(4) 关于 程序 质量 的 合约 要 求 。 

(5) 在 安装 软件 前 进行 测试 ,以 防止 特洛伊 程序 的 植 入 。 

7. 程序 中 的 出 错 和 异常 处 理 

正确 输入 的 数据 可 能 会 由 于 处 理 错 误 或 故意 行为 而 出 错 , 因 此 ,程序 的 设计 应 当 采 取 措 
施 , 以 将 导致 完整 性 损失 的 风险 降 至 最 低 。 需 要 考虑 的 因素 包括 : 

(1) 程序 中 用 来 执行 对 数据 改动 的 加 入 与 删除 函数 的 使 用 情况 和 位 置 。 

(2) 防止 程序 在 错误 指令 下 运行 。 

(3) 使 用 正确 的 程序 进行 处 理 失效 的 恢复 ,以 保证 程序 正确 地 处 理 数据 。 

8. 代码 安全 性 的 维护 

如 果 对 代码 进行 修改 ,填写 修改 记录 能 帮助 我 们 在 代码 安全 性 维护 上 起 很 大 的 作用 。 
入 口 参数 .数据 结构 .引用 代码 .代码 改动 的 注释 应 该 是 清楚 .完备 的 。 


12.4.4 软件 安全 检测 

软件 的 安全 检测 方法 通常 包括 静态 检测 ,动态 检测 文档 检查 ,接口 安全 性 检测 .出 错 处 
理 检测 .异常 情况 检测 。 

1. 静态 检测 方法 和 工具 

静态 检测 指 在 程序 没有 运行 的 情况 下 ,检查 程序 的 正确 性 。 静 态 检测 工具 不 需要 执行 


所 测试 的 程序 , 它 扫描 所 测试 程序 的 上 下 文 , 对 程序 的 数据 流 和 控制 流 进行 分 析 , 然 后 给 出 
测试 报告 。 静 态 检测 方法 如 下 。 
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(1)“ 重 读 ” 代 码 。“ 重 读 ” 的 时 候 要 注意 检查 以 下 几 项 : 是 否 检查 了 入 口 参数 的 类 型 ; 
是 否 检查 了 入 口 参 数 的 值 域 ; 是 否 有 无 用 的 代码 和 变量 ; 分 配 的 空间 是 否 都 “干净 ”地 释放 
了 ; 释放 的 指针 是 否 都 指向 了 NULL; 条 件 循 环 是 否 出 现 无 限 循环 的 情况 。 

(2) 使 用 各 种 编译 工具 ,检查 程序 。 

(3) 使 用 专门 的 静态 检测 工具 ,如 检测 C 程序 的 lint、splint 等 。 

2. 动态 检测 方法 和 工具 

动态 测试 通过 选择 适当 的 测试 用 例 , 实 际 运行 所 测 程序 ,比较 实际 运行 结果 和 预期 结 
果 , 以 找 出 错误 。 动 态 检测 需要 在 动态 检测 程序 运行 的 情况 下 ,执行 所 测试 的 程序 ,通过 对 
程序 运行 时 的 内 存 、 变 量 、 内 部 寄存 器 等 中 间 结 果 进 行 记录 ,来 检测 程序 运行 态 的 正确 性 。 
单 步 跟 踪 \ 设 置 断 点 是 其 基本 的 方法 。 动 态 检测 工具 方法 包括 : 

(1) 基于 符号 表 的 DEBUG 工具 ,如 gdb。 

(2) 跟踪 程序 ,如 strace/ltrace。 

3. 文档 检查 


文档 检查 主要 包括 : 

(1) 规格 说 明 书 中 是 否 有 安全 性 的 需求 定义 。 

(2) 概要 设计 说 明 书 ,详细 设计 说 明 书 ,技术 白皮书 中 是 否 有 对 安全 性 的 设计 和 描述 。 

(3) 概要 设计 说 明 书 \ 详 细 设 计 说 明 书 ,技术 白皮书 中 对 安全 性 的 描述 是 否 和 需求 一 致 。 

(4) 用 户 文档 中 是 否 提 示 了 用 户 安全 性 相关 事项 。 

4. 接口 安全 性 检测 

入 口 检测 主要 包括 如 下 内 容 。 

(1) 命令 行 输入 的 参数 是 任意 的 ,尤其 是 setuid/setgid 程序 ,一 定 要 检查 参数 的 有 效 性 
和 合法 性 。 

(2) 文件 描述 符 的 安全 性 ,如 文件 权限 读 、 写 函数 的 安全 性 ,标准 输入 、 输 出 、 出 错 的 安 
全 性 。 
(3) 文件 内 容 的 安全 性 。 直 接 读 取 的 文件 ,如 果 不 被 信任 的 用 户 能 访问 该 文件 或 任何 
它 的 父 目 录 ,都 是 不 可 信任 的 。 

(4) 所 有 的 Web 输入 都 是 不 被 信任 的 ,都 需要 进行 严格 的 有 效 性 验证 。 

(5) 字符 集 问题 。 如 果 是 新 写 代码 ,使 用 ISO 10646/Unicode, 如 果 需 要 处 理 旧 字符 集 ， 
确保 非法 用 户 不 能 修改 此 字符 集 。 

(6) 是 否 过滤 可 能 被 重复 解释 的 html/url。 

(7) 基于 Web 的 应 用 程序 ,应 该 禁止 http 的 “get”" 和 “HEAD” ,除非 能 限定 它们 只 用 于 
查询 。 

(8) 设置 输入 数据 的 超时 和 加 载 级 别 限 制 ,特别 是 对 于 网 络 数 据 更 应 如 此 。 

出 口 检测 主要 包括 : 

(1) 最 小 化 反馈 信息 ,使 得 黑客 不 能 获得 详细 信息 。 

(2) 反馈 不 要 包含 注释 信息 ,特别 是 产生 html 文件 的 Web 程序 。 

(3) 是 否 处 理 了 阻塞 或 响应 缓慢 的 输出 情况 。 

(4) 是 否 控制 了 输出 的 数据 格式 (pringf 系列 函数 问题 ) 。 
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(5) 控制 输出 的 字符 编码 。 

(6) 基于 Web 的 应 用 程序 ,不 要 运行 用 户 访 问 Include 和 配置 文件 。 
5. 出 错 处 理 检 测 

出 错 处 理 检测 主要 包括 : 

(1) 各 种 出 错 情 况 都 被 处 理 。 

(2) 给 用 户 的 出 错 信息 ,不 会 泄漏 程序 信息 的 细节 。 

6. 异常 情况 检测 

异常 情况 检测 主要 包括 : 

(1) 软件 的 各 种 异常 情况 都 被 处 理 。 

(2) 软件 的 异常 情况 不 会 导致 程序 进入 不 可 知情 况 。 


12.4.5 安全 培训 


在 软件 开发 整个 过 程 中 ,都 要 对 开发 人 员 进行 安全 培训 。 

(1) 对 环境 、 网 络 、 代 码 文档 等 方面 的 管理 培训 主要 培养 员工 维护 开发 环境 .网络 、 代 
码 的 安全 意识 ,了 解 开发 规范 的 安全 要 求 。 

(2) 对 配置 管理 的 培训 ,使 员工 熟悉 项 目的 配置 管理 工具 ,版 本 管理 方法 、 变 更 管理 方 
法 等 ,对 负责 备份 的 人 员 进 行 备份 方法 ,灾难 恢复 方法 的 培训 ,保证 项 目的 正常 进行 。 

(3) 对 安全 编程 的 培训 ,包括 系统 设计 中 的 安全 要 素 和 可 能 出 现 的 安全 漏洞 编程 中 的 
常见 安全 问题 良好 的 编程 习惯 进程 的 安全 性 、 文 件 的 安全 性 动态 链接 库 的 安全 性 、 指 针 
的 安全 性 、Socket 和 网 络 通信 的 安全 性 、 避 人 免 缓 冲 区 溢出 、 验 证 所 有 的 输入 、 避 免 随意 的 输 
出 信息 、 界 面 安 全 性 、 调 用 函数 库 的 安全 性 。 

(4) 对 安全 性 测试 的 培训 ,包括 在 单元 测试 中 测试 代码 的 安全 性 、 系 统 安全 性 测试 的 内 
容 和 方法 、 网 络 程序 的 安全 性 测试 内 容 和 方法 、 容 错 性 和 可 靠 性 测试 方法 。 

(5) 对 知识 产权 意识 的 培训 ,培养 员工 使 用 第 三 方 资源 的 知识 产权 意识 ,避免 在 设计 和 
开发 中 引入 法 律 纠 纷 的 隐患 。 


12.4.6 安全 监理 


安全 监理 的 主要 作用 是 : 检查 和 控制 开发 流程 ,确保 开发 流程 中 各 项 安全 措施 的 遵守 。 
安全 监理 应 该 由 第 三 方 担 任 , 可 以 外 包 , 也 可 以 由 公司 的 其 他 部 门 承担 ,不 应 由 开发 者 担任 
这 个 角色 。 安 全 监理 的 内 容 主 要 包括 如 下 五 部 分 。 

(1) 开发 环境 的 安全 性 。 主 要 检查 内 容 包 括 : 项 目 文档 、 代 码 存 放 是 否 安 全 ; 是 否 有 完 
善 的 备份 制度 ; 是 否 有 灾难 恢复 机 制 ; 项 目 文档 和 代码 的 访问 是 否 受 控 ; 是 否 有 代码 和 文 
档 的 版 本 管理 ; 开发 的 网 络 环境 是 否 安 全 ; 开发 人 员 使 用 的 邮件 组 是 否 安 全 。 

(2) 开发 流程 的 安全 性 检查 和 评估 。 主 要 检查 内 容 包 括 : 程序 员 是 否 使 用 了 “危险 ”的 
代码 ; 程序 员 的 函数 是 否 都 检查 了 入 口 参数 的 合法 性 ; 是 否 使 用 了 未 经 授权 的 代码 ; 是 否 
对 第 三 方 代码 ,没有 进行 安全 性 评估 、 测 试 , 就 直接 使 用 ; 测试 用 的 “后 门 ”, 是 否 在 发 布 版 中 
去 除 ; 程序 员 是 否 在 代码 中 隐藏 “恶意 ”的 代码 ; 代码 中 是 否 有 无 用 的 代码 。 

(3) 开发 各 个 环节 的 安全 性 措施 是 否 被 实施 。 主 要 检查 内 容 包 括 , 是 否 对 开发 人 员 的 
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邮件 进行 检查 ; 是 否 检查 了 代码 和 文档 的 访问 权限 。 

(4) 开发 各 个 环节 的 安全 性 要 求 是 否 被 遵守 。 主 要 检查 内 容 包 括 : 需求 分 析 阶 段 ,是 
否 确认 用 户 的 安全 性 需求 ; 设计 阶段 ,是 否 做 了 安全 性 的 设计 ; 编码 阶段 是 否 采用 良好 的 
风格 进行 编程 ; 测试 阶段 ,安全 性 测试 是 否 执 行 ; 安全 性 测试 是 否 充 分 。 

(5) 对 出 现 的 安全 问题 提出 响应 策略 。 主 要 检查 内 容 包 括 : 是 否 有 应 对 泄密 的 安全 策 
略 ; 是 否 有 发 现 软件 中 的 安全 漏洞 的 响应 策略 ; 是 否 有 软件 完整 性 损坏 的 响应 策略 。 

在 软件 开发 过 程 中 ,遵循 安全 开发 模型 ,开发 人 员 将 养 成 良好 的 编码 风格 和 文档 习惯 ， 
从 而 开发 出 安全 可 靠 的 软件 。 


习题 12 


1. 软件 安全 防护 包含 了 哪些 方面 ? 
2. 软件 安全 保护 机 制 包 含 哪 些 内 容 ? 各 自 包含 哪些 技术 ? 简要 说 明 。 
3. 设计 一 个 安全 工具 程序 , 它 可 以 实现 将 另 一 个 文本 程序 进行 加 密 /解密 ,加 密 算法 可 
采用 教材 中 的 任何 一 种 。 
.举例 说 明 几 种 软件 自 保护 技术 的 原理 及 其 解决 的 问题 。 
. 简 述 防 动态 跟踪 技术 的 方法 。 
. 试 描 述 几 种 软件 运行 控制 技术 的 工作 原理 。 
. 软件 检测 技术 分 为 哪 两 大 类 ? 其 中 程序 静态 分 析 有 哪些 技术 ? 
. 比较 程序 分 析 和 程序 验证 有 什么 不 同 ? 
. 软件 安全 编码 的 主要 内 容 有 哪些 ? 
10. 简 述 安全 检测 的 方法 。 


Co 和 Nmap 
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数据 库 (Database) 是 按照 数据 结构 来 组 织 、 存 储 和 管理 数据 的 仓库 , 它 
产生 于 距 今 五 十 多 年 前 。 随 着 信息 技术 和 市 场 的 发 展 ,数据 库 不 再 是 仅仅 存 
储 和 管理 数据 ,而 转变 成 用 户 所 需要 的 各 种 数据 管理 的 方式 。 

数据 库 系 统 是 计算 机 技术 的 一 个 重要 分 支 ,从 20 世纪 60 年 代 后 期 开始 
发 展 , 近 几 十 年 来 已 成 为 一 门 新 兴 的 学 科 , 应 用 涉及 面 很 广 , 几 乎 所 有 的 领域 
都 要 用 到 数据 库 。 因 此 ,确保 数据 及 数据 库 系 统 安 全 非常 重要 。 数 据 库 系统 
的 安全 性 主要 是 针对 数据 而 言 的 ,一 旦 发 生硬 件 故 障 、 黑 客 入 侵 或 者 数据 库 
系统 所 处 的 环境 发 生变 故 等 情况 , 则 可 能 丢失 数据 ,其 损失 是 难以 估计 的 。 
因此 ,为 了 预防 上 述 情况 ,我 们 需要 相应 的 数据 备份 技术 .设备 和 数据 恢复 
技术 。 

除 此 之 外 ,数据 库 系统 安全 还 包括 数据 完整 性 数据 保密 性 和 数据 的 可 
用 性 。 为 了 确保 三 个 安全 性 需求 ,我们 需要 建立 数据 库 审计 机 制 来 监视 和 记 
录用 户 对 数据 库 所 施加 的 各 种 操作 。 


13.1 数据 备份 与 恢复 


13.1.1 备份 与 恢复 概述 

1. 数据 备份 

1) 备份 概述 

当 长 时 间 不 用 计算 机 时 ,可 能 发 生 数 据 丢失 的 现象 ,给 用 户 带 来 很 大 的 
烦恼 。 备 份 作业 的 目的 就 是 有 效 地 恢复 丢失 的 数据 。 备 份 作业 就 是 备份 数 
据 的 简单 过 程 。 通 常情 况 下 在 客户 机 和 服务 器 上 备份 数据 可 以 防止 磁盘 驱 
动 器 出 现 故 障 、 电 源 断 电感 染病 毒 和 发 生 其 他 事故 时 丢失 数据 。 如 果 发 生 
了 数据 丢失 ,但 是 你 已 经 在 仔细 计划 的 基础 上 进行 了 定期 的 备份 作业 ,那么 
就 可 以 恢复 数据 ,恢复 整个 硬盘 或 恢复 单个 文件 。 

用 户 可 以 利用 备份 工具 完成 以 下 工作 : 
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(1) 备份 硬盘 上 选 定 的 文件 或 文件 夹 ; 

(2) 将 备份 的 文件 和 文件 夹 还 原 到 硬盘 或 可 以 访问 的 任何 其 他 磁盘 上 ; 

(3) 复制 计算 机 的 系统 状态 ,包括 注册 表 、 系 统 文件 和 启动 文件 ; 

(4) 制作 紧急 修复 盘 , 在 系统 文件 被 意外 删除 或 被 破坏 时 , 它 可 以 快速 修复 这 些 文件 ; 

(5) 计划 定期 地 备份 ,使 备份 的 数据 保持 最 新 。 

备份 程序 支持 如 下 五 种 备份 类 型 。 

(1) 普通 备份 : 复制 所 有 选中 的 文件 ,并 标志 每 个 备份 后 的 文件 为 已 备份 。 使 用 普通 
备份 ,只 需要 最 近 备 份 的 文件 或 磁带 的 副本 来 还 原 所 有 文件 。 第 一 次 创建 备份 集 时 ,通常 执 
行 普通 备份 。 

(2) 每 日 备份 : 复制 进行 备份 中 的 当天 修改 的 所 有 的 被 选中 的 文件 ,并 且 已 备份 的 文 
件 不 再 重新 做 标记 ; 它 可 以 保存 一 天 的 工作 而 不 会 影响 正常 的 日 常备 份 工作 。 

(3) 增 量 备份 : 只 复制 被 选 定 的 自 最 近 一 次 正常 或 增 量 备份 后 创建 或 改变 的 文件 ,并 
且 备 份 后 对 已 备份 的 文件 进行 标记 。 因 此 ,一 次 普通 备份 之 后 的 第 一 次 增 量 备份 将 复制 自 
普通 备份 以 来 改变 过 的 所 有 文件 ; 第 二 次 增 量 备份 则 只 复制 第 一 次 增 量 备份 以 来 改变 过 的 
所 有 文件 , 依 此 类 推 。 

(4) 副本 备份 : 复制 所 有 选中 的 文件 ,但 不 将 这 些 文件 标记 为 已 经 备份 。 

(5) 差异 备份 : 指 上 次 正常 或 增 量 备份 后 ,创建 或 修改 的 差异 备份 副本 文件 。 备 份 后 
的 文件 不 标志 为 已 备份 文件 。 

选择 一 个 备份 类 型 一 方面 要 涉及 安全 性 , 另 一 方面 要 涉及 时 间 及 介质 空间 的 适中 。 如 
果 安 全 性 占 主 要 地 位 ,那么 可 以 每 小 时 备份 一 次 ,但 这 会 花费 大 量 的 时 间 及 备份 空间 。 如 果 
关心 的 是 时 间 及 介质 空间 的 利用 ,那么 可 以 一 个 月 或 更 长 的 时 间 备 份 一 次 重要 文件 。 

一 个 比较 好 的 方案 是 把 普通 备份 和 差异 备份 结合 起 来 使 用 ,具体 方法 是 : 

(1) 以 一 个 固定 的 间隔 进行 普通 备份 ,在 两 个 普通 备份 之 间 以 固定 的 间隔 进行 一 次 差 
异 备份 。 

这 种 结合 的 备份 方案 有 一 个 优点 是 ,容易 还 原 数据 ,因为 备份 集 通常 只 存储 在 少量 磁盘 
和 磁带 上 。 但 是 它 又 有 一 个 缺点 是 ,备份 数据 更 加 耗 时 ,尤其 当 数据 经 常 更 改 时 。 

(2) 另 一 个 组 合 的 备份 方案 是 使 用 普通 备份 和 增 量 备 份 来 备份 数据 。 因 为 增 量 备份 只 
复制 被 选 定 的 自 最 近 一 次 正常 或 增 量 备份 后 创建 或 改变 的 文件 ,所 以 这 种 备份 组 合 只 需要 
很 少 的 存储 空间 ,并 且 它 是 最 快 的 备份 方法 。 但 它 也 有 一 个 缺点 就 是 ,这 种 备份 是 非常 耗 时 
和 困难 的 ,因为 备份 的 数据 可 能 存储 在 多 个 磁盘 或 磁带 上 。 

2) 常见 的 数据 备份 设备 

常见 的 数据 备份 设备 有 以 下 几 种 。 

(1) 磁盘 阵列 。 磁 盘 阵 列 又 叫 RAID(Redundant Array of Inexpensive Disks, 廉 价 磁盘 
元 余 阵列 ) ,是 我 们 见得 最 多 ,也 是 用 得 最 多 的 一 种 数据 备份 设备 ,同时 也 是 一 种 数据 备份 技 
术 。 它 是 指 将 多 个 类 型 容量 ,接口 ,其 至 品牌 一 致 的 专用 硬 磁盘 或 普通 硬 磁盘 连 成 一 个 阵 
列 , 使 其 能 以 某 种 快速 \ 准 确 和 安全 的 方式 来 读 写 磁盘 数据 ,从 而 达到 提高 数据 读 取 速度 和 
安全 性 的 一 种 手段 。 

磁盘 阵列 读 写 方式 的 基本 要 求 是 ,在 尽 可 能 提高 磁盘 数据 读 写 速度 的 前 提 下 ,必须 确保 
在 一 张 或 多 张 磁盘 失效 时 ,阵列 能 够 有 效 地 防止 数据 丢失 。 磁 盘 阵 列 的 最 大 特点 是 数据 存 
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取 速 度 特别 快 ,其 主要 功能 是 可 提高 网 络 数据 的 可 用 性 及 存储 容量 ,并 将 数据 有 选择 性 地 分 
布 在 多 个 磁盘 上 ,从 而 提高 系统 的 数据 吞吐 率 。 另 外 ,磁盘 阵列 还 能 够 免除 单 块 硬盘 故障 所 
带 来 的 灾难 后 果 ,通过 把 多 个 较 小 容量 的 硬盘 连 在 智能 控制 器 上 ,可 增加 存储 容量 。 磁 盘 阵 
列 是 一 种 高 效 、 快 速 . 易 用 的 网 络 存储 备份 设备 。 

这 种 磁盘 阵列 备份 方式 适用 于 对 数据 传输 性 能 要 求 不 是 很 高 的 中 小 企业 选用 。 

磁盘 阵列 有 多 种 部 署 方式 ,也 称 RAID 级 别 ,不同 的 RAID 级 别 , 备 份 的 方式 也 不 同 , 目 
前 主要 有 RAID0、RAID1、RAID3、RAID5 等 几 种 ,也 可 以 是 几 种 独立 方式 的 组 合 ,如 
RAID10 就 是 RAID0 与 RAID1 的 组 合 。 

磁盘 阵列 需要 有 磁盘 阵列 控制 器 ,在 有 些 服务 器 主板 中 就 自 带 有 这 个 RAID 控制 器 , 提 
供 了 相应 的 接口 。 而 有 些 服务 器 主板 上 没有 这 种 控制 器 ,这 样 , 需 要 配置 RAID 时 ,就 必须 
外 加 一 个 RAID 卡 ( 阵 列 卡 ) 插 入 服务 器 的 PCI 插 槽 中 。RAID 控制 器 的 磁盘 接口 通常 是 
SCSI 接口 ,不 过 目前 也 有 一 些 RAID 阵列 卡 提 供 了 IDE 接口 ,使 IDE 硬盘 也 支持 RAID 技 
术 。 同 时 , 随 着 SATA 接口 技术 的 成 熟 ,基于 SATA 接口 的 RAID 阵列 卡 也 是 非常 之 多 的 。 

(2) 光盘 塔 。CD-ROM 光盘 塔 (CD-ROM Tower) 是 由 多 个 SCSI 接口 的 CD-ROM 驱 
动 器 串联 而 成 的 ,光盘 预先 放置 在 CD-ROM 驱动 器 中 。 受 SCSI 总线 ID 号 的 限制 ,光盘 塔 
中 的 CD-ROM 驱动 器 一 般 以 7 的 倍数 出 现 。 用 户 访问 光盘 塔 时 ,可 以 直接 访问 CD-ROM 
驱动 器 中 的 光盘 ,因此 光盘 塔 的 访问 速度 较 快 。 

由 于 所 采用 的 是 一 次 性 写 入 的 CD-ROM 光盘 ,不 能 对 数据 进行 改写 ,光盘 的 利用 率 
低 , 所 以 通常 只 适用 于 不 需要 经 常 改写 数据 的 应 用 环境 选用 ,如 一 次 性 备份 和 一 些 图 书馆 之 
类 的 企业 。 

(3) 光盘 库 。CD-ROM 光盘 库 (CD-ROM Jukebox) 是 一 种 带 有 自动 换 盘 机 构 ( 机 械 
手 ) 的 光盘 网 络 共享 设备 。 它 带 有 机 械 臂 和 一 个 光盘 驱动 器 的 光盘 柜 , 它 利用 机 械 手 从 机 柜 
中 选 出 一 张 光 盘 送 到 驱动 器 进行 读 写 。 光 盘 库 一 般配 置 有 1 一 6 台 CD-ROM 驱动 器 ,可 容 
纳 100 一 600 片 CD-ROM 光盘 。 用 户 访问 光盘 库 时 ,自动 换 盘 机 构 首 先 将 CD-ROM 驱动 
器 中 光盘 取出 并 放置 到 盘 架 上 的 指定 位 置 ,然后 再 从 盘 架 中 取出 所 需 的 CD-ROM 光盘 并 
送 入 CD-ROM 驱动 器 中 。 

光盘 库 的 特点 是 : 安装 简单 使 用 方便 ,并 支持 几乎 所 有 的 常见 网 络 操作 系统 及 各 种 常 
用 通信 协议 。 由 于 光盘 库 普遍 使 用 的 是 标准 EIDE 光驱 (或 标准 5 片 式 换 片 机 ) ,所 以 维护 
更 换 与 管理 非常 容易 ,同时 还 降低 了 成 本 和 价格 。 又 因 光 盘 库 普遍 内 置 有 高 性 能 处 理 器 、 高 
速 缓 存 器 \ 快 速 闪 存 、 动 态 存 取 内 存 、 网 络 控 制 器 等 智能 部 件 , 使 得 其 信息 处 理 能 力 更 强 。 

这 种 有 巨大 联机 容量 的 设备 非常 适用 于 图 书馆 一 类 的 信息 检索 中 心 , 尤 其 是 交互 式 光 
盘 系 统 .数字 化 图 书馆 系统 、 实 时 资料 档案 中 心 系统 .卡拉 OK 自动 点 播 系统 等 。 

(4) 磁带 机 。 磁 带 机 是 我 们 最 常用 的 数据 备份 设备 , 按 它 的 换 带 方式 可 分 为 人 工 加 载 
磁带 机 和 自动 加 载 磁带 机 两 大 类 。 人 工 加 载 磁 带 机 在 换 磁带 时 需要 人 工 干 预 , 因 只 能 备份 
一 盘 磁带 ,所 以 只 适用 于 备份 数据 量 较 小 的 中 小 型 企业 选用 (通常 为 8GB、24GB 和 40GB); 
自动 加 载 磁带 机 则 可 在 一 盘 磁 带 备 份 满 后 ,自动 卸载 原 有 磁带 ,并 加 载 新 的 空 磁带 ,适用 于 
备份 数据 量 较 大 的 大 、 中 型 企业 选用 。 自 动 加 载 磁带 机 可 以 备份 100GB 一 200GB 或 者 更 多 
的 数据 。 自 动 加 载 磁带 机 能 够 支持 例 行 备份 过 程 ,自动 为 每 日 的 备份 工作 装载 新 的 磁带 。 

(5) 磁带 库 。 磁 带 库 是 像 自动 加 载 磁 带 机 一 样 的 基于 磁带 的 备份 系统 , 它 能 够 提供 同 
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样 的 基本 自动 备份 和 数据 恢复 功能 ,但 同时 具有 更 先进 的 技术 特点 。 它 的 存储 容量 可 达到 
数 百 拍 字 节 (1PB 王 105GB) ,可 以 实现 连续 备份 .自动 搜索 磁带 ,也 可 以 在 驱动 管理 软件 控制 
下 实现 智能 恢复 、 实 时 监控 和 统计 ,整个 数据 存储 备份 过 程 完全 摆脱 了 人 工 干涉 。 

磁带 库 不 仅 数据 存储 量 大 得 多 ,而 且 在 备份 效率 和 人 工 占用 方面 拥有 无 可 比拟 的 优势 。 
在 网 络 系统 中 ,磁带 库 通 过 SAN(Storage Area Network ,存储 局 域 网 络 ) 系 统 可 形成 网 络 存 
储 系统 ,为 企业 存储 提供 有 力 保障 ,很 容易 完成 远程 数据 访问 .数据 存储 备份 ,或 通过 磁带 镜 
像 技 术 实现 多 磁带 库 备 份 ,无 疑 是 数据 仓库 `.ERP 等 大 型 网 络 应 用 的 良好 存储 设备 。 

如 HP StorageWorks ESL9000 系列 磁带 库 , 它 提供 了 高 容量 关键 任务 无 人 值守 备份 和 
恢复 的 襄 峰 解决 方案 ,是 满足 大 型 服务 器 池 和 集中 式 备 份 /恢复 要 求 的 完美 选择 。ESL9000 
系列 磁带 库 提供 组 件 级 元 余 及 高 容量 ,可 以 实现 多 年 的 全 自动 操作 。 

(6) 光盘 网 络 镜像 服务 器 。 光 盘 网 络 镜像 服务 器 是 继 第 一 代 的 光盘 库 和 第 二 代 的 光盘 
塔 之 后 ,最 新 开发 的 一 种 可 在 网 络 上 实现 光盘 信息 共享 的 网 络 存 储 设备 。 光 盘 镜 像 服务 器 
有 一 台 或 几 台 CD-ROM 驱动 器 。 网 络 管理 员 既 可 通过 光盘 镜像 服务 器 上 的 CD-ROM 驱 
动 器 将 光盘 镜像 到 服务 器 硬盘 中 ,也 可 利用 网 络 服务 器 或 客户 机 上 的 CD-ROM 驱动 器 将 
光盘 从 远程 镜像 到 光盘 镜像 服务 器 硬盘 中 。 光 盘 网 络 镜像 服务 器 不 仅 具 有 大 型 光盘 库 的 超 
大 存储 容量 ,而且 还 具有 与 硬盘 相同 的 访问 速度 ,其 单位 存储 成 本 (分 摊 到 每 张 光盘 上 的 设 
备 成 本 ) 大 大 低 于 光盘 库 和 光盘 塔 , 因 此 光盘 网 络 镜像 服务 器 已 开始 取代 光盘 库 和 光盘 塔 ， 
逐渐 成 为 光盘 网 络 共 享 设备 中 的 主流 产品 。 

光盘 镜像 服务 器 本 身 就 是 一 台 WWW 服务 器 ,客户 机 可 通过 WWW 浏览 器 对 光盘 镜 
像 服务 器 直接 镜像 远程 访问 和 检索 。 光 盘 镜 像 服务 器 一 般 支 持 多 种 网 络 操作 系统 ,如 
Windows NT、UNIX 和 NETWARE 等 ,具有 很 强 的 可 访问 性 。 光 盘 镜 像 服 务 器 还 有 很 强 
的 可 拓展 性 ,用 户 可 根据 实际 需求 通过 给 光盘 镜像 服务 器 增加 硬盘 来 扩充 服务 器 的 容量 。 

光盘 镜像 服务 器 一 般 采 用 BNC 和 RJ-45 标准 网 络 接口 ,不 需要 任何 网 络 文件 服务 器 就 
可 直接 上 网 ,不 需要 在 网 络 服务 器 和 客户 端 安装 任何 软件 ,用 户 仅 须 将 网 线 接 到 网 络 Hub 
上 , 插 上 电源 ,输入 IP 地 址 信息 后 便 可 以 使 用 。 光 盘 镜像 服务 器 的 设置 .升级 和 管理 均 可 通 
过 Web 浏览 器 或 网 上 邻居 远程 进行 ,无 须 网 络 管理 员 东 奔 西 跑 。 光 盘 镜 像 服务 器 发 生 故 障 
时 ,只 影响 到 本 身 文件 的 访问 ,不 会 影响 到 整个 网 络 的 正常 运行 。 

光盘 镜像 服务 器 将 光盘 的 数据 存储 恢复 和 读 取 功能 分 离 ,凭借 硬盘 的 高 速 存 取 能 力 来 
共享 光盘 信息 资源 ,因此 光盘 镜像 服务 器 的 访问 速度 要 比 光盘 库 或 光盘 塔 快 几 十 倍 。 光 盘 
镜像 服务 器 在 容量 和 速度 等 性 能 指标 方面 均 超过 光盘 库 或 光盘 塔 ,但 其 单位 容量 成 本 却 大 
大 低 于 光盘 库 或 光盘 塔 。 光 盘 镜像 服务 器 给 学 校 . 图 书馆 、 档 案 馆 、 设 计 院 所 、 医 院 、 公 司 或 
政府 机 关 等 客户 提供 了 一 种 性 价 比 很 高 的 光盘 网 络 共享 解决 方案 ,光盘 镜像 服务 器 目前 已 
开始 取代 光盘 库 和 光盘 塔 ,成 为 光盘 网 络 共享 的 主流 产品 。 目 前 ,又 开发 了 具有 不 仅 镜 像 光 
盘 文 件 , 还 可 镜像 硬盘 、 软 盘 , 网 站 内 容 , 而 且 具 备 RAID 和 刻录 功能 的 文件 镜像 服务 器 。 

2. 数据 恢复 

数据 恢复 就 是 把 遭 到 破坏 、 删 除 和 修改 的 数据 还 原 为 可 使 用 数据 的 过 程 。 

1) 数据 恢复 概述 

可 以 将 数据 恢复 分 为 两 种 情况 。 

(1) 因为 计算 机 病毒 破坏 、 人 为 破坏 和 人 为 误 操作 造成 当前 的 系统 数据 或 用 户 数据 丢 
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失 或 损坏 ,但 存储 数据 的 物理 介质 没有 遭 到 破坏 ,原始 的 备份 数据 也 保存 良好 ,这 种 情况 下 
只 要 使 用 备份 软件 或 应 用 程序 的 还 原 功能 ,就 基本 上 可 以 恢复 所 损坏 的 数据 。 

(2) 当前 数据 和 原始 的 备份 数据 都 遭 到 破坏 ,其 至 存储 数据 的 物理 介质 也 出 现 逻 辑 或 
物理 上 的 故障 ,这 种 情况 将 会 引起 灾难 性 后 果 , 本 节 介 绍 的 数据 恢复 内 容 主 要 针对 这 种 情 
况 , 并 重点 针对 硬盘 的 数据 恢复 。 为 了 提高 数据 的 修复 率 ,在 发 现 硬盘 数据 丢失 或 遭 到 破坏 
时 ,最 重要 的 就 是 注意 “保护 好 现场 ”, 要 立即 禁止 对 硬盘 再 进行 新 的 写 操作 。 

进行 数据 恢复 之 前 ,首要 的 一 点 就 是 认真 、 细 致 地 制定 恢复 计划 ,对 每 一 步 操作 都 有 一 
个 明确 的 目的 。 

在 进行 每 一 步 操作 之 前 就 考虑 好 做 完 该 步 之 后 能 达到 什么 目的 ,可 能 造成 什么 后 果 , 能 
不 能 回 退 至 上 一 状态 。 特 别 是 对 于 一 些 破坏 性 操作 ,一 定 要 考虑 周到 。 只 要 条 件 允 许 , 就 一 
定 要 在 操作 之 前 对 要 恢复 的 数据 进行 镜像 备份 ,以 防止 数据 恢复 失败 和 误 操作 。 要 注意 的 
是 ,应 该 先 抢救 那些 最 有 把 握 恢 复 的 数据 ,恢复 一 点 ,就 备份 一 点 。 

2) 硬盘 数据 恢复 

对 硬盘 来 说 ,如 果 整 个 系统 瘫痪 、 系 统 无 法 启动 ,恢复 数据 可 以 先 从 硬盘 的 5 个 区 域 人 
手 , 首 先 恢 复 MBR( 主 引导 记录 区 ) ,然后 恢复 DBR( 操 作 系统 引导 记录 区 ) .FAT( 文 件 分 配 
表 ) .FDT( 文 件 目 录 表 ) ,最 后 恢复 数据 文件 。 必 要 时 ,系统 需要 检测 磁道 ,修复 0 磁道 和 其 
他 坏 磁 道 。 

俄罗斯 著名 硬盘 实验 室 (ACE Laboratory) 开 发 的 专业 修复 硬盘 综合 ( 软 \ 硬 ) 工 具 PC- 
3000, 能 从 硬盘 的 内 部 软件 来 管理 硬盘 ,进行 硬盘 原始 数据 的 改变 和 修复 。 它 可 以 读 取 常见 
型 号 的 硬盘 专用 CPU 的 指令 集 和 硬盘 的 Firmware( 固 件 ) ,从 而 控制 硬盘 的 内 部 工作 ,实现 
硬盘 内 部 参数 模块 读 写 和 硬盘 程序 模块 的 调用 ,最 终 达 到 以 软件 修复 硬盘 缺陷 ,恢复 硬盘 数 
据 的 目的 。 

在 Windows 下 非常 优秀 的 数据 恢复 工具 ,主要 有 针对 光盘 的 数据 修复 软件 CD Data 
Rescue; 针对 数码 相机 、PDA、U 盘 等 数码 设备 的 数据 修复 软件 MediaRecover; 针对 硬盘 的 
数据 修复 软件 EasyRecovery、 FinalData、 FileRecovery、 OfficeRecovery、 FileRescavenger、 
FileRescue、Recover4all 等 。 


13.1.2 Windows XP 系统 下 备份 与 恢复 


许多 计算 机 用 户 都 会 有 这 样 的 经 历 , 在 使 用 电脑 过 程 中 痪 错 了 一 个 键 , 几 个 小 时 ,甚至 
是 几 天 的 工作 成 果 便 会 付 之 东 流 。 就 是 不 出 现 操作 错误 ,也 会 因为 病毒 .木马 等 软件 的 攻 
击 , 使 你 的 电脑 出 现 无 缘 无 故 的 死机 、 运 行 缓慢 等 症状 。 随 着 计算 机 和 网 络 的 不 断 普 及 , 确 
保 系统 数据 信息 安全 就 显得 尤为 重要 。 在 这 种 情况 下 ,系统 软件 数据 备份 和 恢复 就 成 为 我 
们 日 常 操作 中 一 个 非常 重要 的 措施 ,下 面 从 系统 软件 备份 和 恢复 、 常 用 软件 备份 和 恢复 两 个 
方面 提供 了 完整 的 解决 方案 。 

1. 系统 备份 与 恢复 

1) 创建 还 原点 

使 用 系统 还 原 的 第 一 步 是 创建 系统 还 原点 , 它 的 作用 就 像 用 户 没 病 时 存 钱 ,一 旦 生病 才 
需要 用 钱 那 样 一 一 防微杜渐 ”。 

使 用 前 提 : 为 了 确保 系统 还 原 功能 的 有 效 性 ,安装 Windows XP 系统 分 区 不 能 关闭 系 
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统 还 原 功 能 ,但 可 以 调整 用 于 系统 还 原 的 磁盘 空间 。 

方法 : 单 击 “ 控 制 面板 "中 的 “系统 "对话 框 的 “系统 还 原 ” 标 签 ( 见 图 13-1) ,取消 选中 “在 
所 有 驱动 器 上 关闭 系统 还 原 ” 复 选 框 ; 再 确定 “可 用 的 驱动 器 ?列表 框 中 的 Windows XP 分 
区 状态 是 否 为 “监视 ”; 最 后 单 击 * 设 置 按 钮 打开 设置 对 话 框 ( 见 图 13-2) ,根据 分 区 剩余 磁 
盘 空 间 情况 拖 动 滑 块 确定 要 使 用 的 磁盘 空间 大 小 。 

小 提示 : 非 系 统 分 区 一 般 情况 下 是 不 需要 启动 系统 还 原 功能 的 ,为 了 节约 磁盘 空间 ,可 
以 在 图 13-2 中 选中 “关闭 这 个 驱动 器 上 的 “系统 还 原 ”” 复 选 框 。 


EE [2 
第 规 | 计算 机 名 | 硬件 | 高 胡 [ER 声 原 ] 8 动 更 新 | 运程 | 


ad] 
汪 中 几 
厂 区 县 区 了 条 区 大 ”可 


确定 | 取消 应 用 三 
图 13-1 “系统 属性 ”对 话 框 图 13-2 系统 驱动 器 设置 对 话 框 


创建 还 原点 : 第 一 次 创建 还 原点 最 好 在 系统 安装 完 驱 动 程序 和 常用 软件 之 后 ,以 后 可 
以 根据 需要 不 定期 地 创建 还 原点 。 

方法 : 选择 “开始 ”>“ 所 有 程序 ”>“ 附 件 ”>“ 系 统 工具 ”一 “系统 还 原 ” 菜 单项 ,在 “系统 
还 原 向 导 ” 对 话 框 中 创建 一 个 还 原点 , 单 击 “ 下 一 步 ” 按 钮 在 “还 原点 描述 "中 输入 说 明 信 息 ， 
单 击 “ 创 建 ”按钮 完成 还 原点 的 创建 。 

小 提示 : 

(1) 由 于 Windows XP 安装 驱动 程序 等 软件 的 同时 会 自动 创建 还 原点 ,所 以 安装 软件 
之 后 是 否 创建 还 原点 要 视 实际 情况 而 定 。 特 别 是 在 安装 不 太 稳定 的 共享 软件 之 前 ,为 了 防 
止 万 一 ,还 是 先 创建 还 原点 比较 稳妥 。 

(2) 在 创建 系统 还 原点 时 务必 确保 有 足够 的 磁盘 可 用 空间 ,和 否则 会 导致 创建 失败 。 

2) 使 用 还 原点 恢复 

一 旦 Windows XP 出 现 了 故障 ,可 以 利用 我 们 先前 创建 的 还 原点 使 用 下 面 几 种 办 法 对 
系统 进行 恢复 。 

(1) 系统 还 原 法 。 如 果 Windows XP 出 现 了 故障 ,但 仍 可 以 正常 模式 启动 ,可 以 使 用 系 
统 还 原 法 进行 恢复 。 
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方法 : 选择 “开始 ”>“ 所 有 程序 ”>“ 附 件 ”>“ 系 统 工具 ”>“ 系 统 还 原 ” 命 令 , 打 开 系统 
还 原 向 导 , 然 后 选择 “恢复 我 的 计算 机 到 一 个 较 早 的 时 间 ” 选 项 , 单 击 “ 下 一 步 ” 按 钮 ,在 日 历 
上 单 击 黑体 字 显示 的 日 期 选择 系统 还 原点 ( 见 图 13-3), 单 击 “ 下 一 步 ” 按 钮 即 可 进行 系统 还 
原 。 还 原 结束 后 ,系统 会 自动 重新 启动 ,所 以 执行 还 原 操作 时 不 要 运行 其 他 程序 ,以 防 文件 


各 录 绞 还 原 


选择 一 个 还 原点 


下 面 的 日 历 中 以 黑体 显示 的 日 期 是 所 有 让 标 点 可 用 的 日 贿 ， 此 列表 显示 对 选 竺 的 日 期 可 用 的 还 原点 。 


可 能 的 还 闽 点 关 别 包括 : 系统 恰 查 点 (您 的 计算 机 人 239i 十 好 好 的 还 荐 点 )， 手动 还 原点 ( 晓 自 肿 29 正 原点) ， 
以 及 安装 还 原点 (在 必定 程序 安装 时 自动 包 建 的 还 原点 )。 


1, 在 此 日 历 中 。 单 击 黑 体 受 示 的 日 期 - 2,. 在 列表 中 ， 单 击 一 个 还 原点 - 
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< 上 -se@) | T-SW> | _ WNC) 
图 13-3 “系统 还 原 ” 对 话 框 


(2)“ 安 全 模式 ”还 原 法 。 如 果 计 算 机 不 能 正常 启动 ,可 以 使 用 “安全 模式 ”或 者 其 他 启 
动 选 项 来 启动 计算 机 。 在 计算 机 启动 时 按 下 F8 键 ,在 启动 模式 菜单 中 选择 安全 模式 ,进入 
安全 模式 以 后 就 可 以 像 上 述 系 统 还 原 法 那样 进行 系统 还 原 了 。 下 面 列 出 了 Windows XP 的 
高 级 启动 选项 的 说 明 。 

基本 安全 模式 : 仅 使 用 最 基本 的 系统 模块 和 驱动 程序 启动 Windows XP, 不 加 载 网 络 
支持 ,加 载 的 驱动 程序 和 模块 用 于 鼠标 、 监 视 器 、 键 盘 、 存 储 器 、 基 本 的 视频 和 默认 的 系统 服 
务 , 在 安全 模式 下 也 可 以 启用 启动 日 志 。 

带 网 络 连接 的 安全 模式 : 仅 使 用 基本 的 系统 模块 和 驱动 程序 启动 Windows XP, 并 且 
加 载 了 网 络 支持 ,但 不 支持 PCMCIA 网 络 , 带 网 络 连接 的 安全 模式 也 可 以 启用 启动 日 志 。 

启用 启动 日 志 模式 : 生成 正在 加 载 的 驱动 程序 和 服务 的 启动 日 志文 件 , 该 日 志文 件 命 
名 为 Ntbtlog. txt, 被 保存 在 系统 的 根 目 录 下 。 

启用 VGA 模式 : 使 用 基本 的 VGA( 视 频 ) 驱 动 程序 启动 Windows XP, 如 果 导 致 
Windows XP 不 能 正常 启动 的 原因 是 安装 了 新 的 视频 卡 驱动 程序 ,那么 使 用 该 模式 非常 有 
用 ,其 他 的 安全 模式 也 只 使 用 基本 的 视频 驱动 程序 。 
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最 后 一 次 正确 的 配置 : 使 用 Windows XP 在 最 后 一 次 关机 时 保存 的 设置 (注册 信息 ) 来 
启动 Windows XP, 仅 在 配置 错误 时 使 用 ,不 能 解决 由 于 驱动 程序 或 文件 破坏 或 丢失 而 引起 
的 问题 ,当选 择 “ 最 后 一 次 正确 的 配置 "选项 后 , 则 在 最 后 一 次 正确 的 配置 之 后 所 做 的 修改 和 
系统 配置 将 丢失 。 

目录 服务 恢复 模式 : 恢复 域 控制 器 的 活动 目录 信息 ,该 选项 只 用 于 Windows XP 域 控 
制 器 ,不 能 用 于 Windows XP Professional 或 者 成 员 服务 器 。 

调试 模式 : 启动 Windows XP 时 ,通过 串 行 电费 将 调试 信息 发 送 到 另 一 台 计算 机 上 ,以 
便 用 户 解决 问题 。 

小 提示 : 虽然 系统 还 原 支 持 在 “安全 模式 ”下 使 用 ,但 是 计算 机 运行 在 安全 模式 下 ,“ 系 
统 还 原 ” 不 创建 任何 还 原点 。 所 以 当 计 算 机 运行 在 安全 模式 下 时 ,无 法 撤销 所 执行 的 还 原 
操作 。 

(3) 还 原 驱 动 程序 。 由 于 Windows XP 在 安装 驱动 程序 时 会 自动 建立 还 原点 ,如 果 你 
在 安装 或 者 更 新 了 了 驱动 程序 后 ,发 现 硬件 不 能 正常 工作 了 ,可 以 使 用 驱动 程序 的 还 原 功 能 
还 原 。 

方法 : 在 “控制 面板 "中 打开 “设备 管理 器 ”窗口 ,选择 你 所 需 恢 复 的 驱动 程序 硬件 名 称 ， 
单 击 鼠 标 右键 打开 属性 对 话 框 , 选 择 * 驱 动 程序 选项 卡 ( 见 图 13-4) ,然后 单 击 * 返 回 驱 动 程 
序 ” 按 钮 按 提示 操作 即 可 。 

aE 
党 规 | 商 姑 3 程序 | 资源 “| 电 涯 芝 理 | 
EE Realtek RTLB139/810X 了 anily PCI Fast Ethernet NIC 


驱动 程序 提供 商 : Realtek 

驱动 程序 日 期 : 。 2001-8-23 

驱动 程序 版 本 。 5.397.823,2001 

数字 签名 程序 :出 crosoft Windows Jardware Cowpatibilj 


名... 查看 有 关 驱 动 程序 文件 的 洋 细 信 息 。 


更 新 红 E 动 程序 人 E).. 为 这 个 设备 更 新 驱动 程序 。 
2 
着 载 | 和 郑 载 驱 动 程序 高 级 )。 
| 
图 13-4 网 卡 属性 对 话 框 


(4) 使 用 紧急 恢复 盘 修复 系统 。 如 果 “ 安 全 模式 ”和 其 他 启动 选项 都 不 能 成 功 启动 
Windows XP 系统 ,可 以 考虑 使 用 故障 恢复 控制 台 。 要 使 用 恢复 控制 台 , 必 须 使 用 操作 系统 
安装 CD 重新 启动 计算 机 。 当 在 文本 模式 设置 过 程 中 出 现 提示 时 , 按 R 键 启动 恢复 控制 台 ， 
按 C 键 选择 “恢复 控制 台 ” 选 项 ,如 果 系 统 安装 了 多 操作 系统 ,选择 要 恢复 的 那个 系统 ,然后 
根据 提示 ,输入 管理 员 密 码 ,并 在 系统 提示 符 后 输入 系统 所 支持 的 操作 命令 ,从 恢复 控制 台 
中 ,可 以 访问 计算 机 上 的 驱动 程序 ,然后 可 以 进行 以 下 更 改 ,以 便 启动 计算 机 : 启用 或 禁用 
设备 驱动 程序 或 服务 ; 从 操作 系统 的 安装 CD 中 复制 文件 ,或 从 其 他 可 移动 媒体 中 复制 文 
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件 ,如 可 以 复制 已 经 删除 的 重要 文件 ; 创建 新 的 引导 扇 区 和 新 的 主 引 导 记 录 (CMBR) ,如 果 
从 现 有 扇 区 启动 存在 问题 , 则 可 能 需要 执行 此 操作 。 故 障 恢复 控制 台 适 用 于 所 有 
Windows XP 版 本 。 

(5) 自动 系统 故障 恢复 。 常 规 情况 下 应 该 创建 自动 系统 恢复 (ASR) 集 ( 即 通 过 创建 紧 
急 恢 复 盘 来 备份 的 系统 文件 ) ,作为 系统 出 现 故障 时 整个 系统 恢复 方案 的 一 部 分 。ASR 应 
该 是 系统 恢复 的 最 后 手段 ,只 有 在 你 已 经 用 尽 其 他 选项 (如 安全 模式 启动 和 最 后 一 次 正确 的 
配置 ) 之 后 才 使 用 , 当 在 设置 文本 模式 部 分 中 出 现 提示 时 ,可 以 通过 按 F2 键 访 问 还 原 部 分 。 
ASR 将 读 取 其 创建 的 文件 中 的 磁盘 配置 ,并 将 还 原 启 动 计算 机 所 需 的 全 部 磁盘 签名 、 卷 和 
最 少量 的 磁盘 分 区 (ASR 将 试图 还 原 全 部 磁盘 配置 ,但 在 某 些 情况 下 ,ASR 不 可 能 还 原 全 
部 磁盘 配置 ) ,然后 ASR 安装 Windows 简装 版 ,并 使 用 ASR 向 导 创建 的 备份 自动 启动 还 原 。 

(6) 还 原 常 规 数 据 。 当 Windows XP 出 现 数据 破坏 时 ,选择 “开始 ”>“ 所 有 程序 ”>“ 附 
件 ” 一 “系统 工具 ”>“ 备 份 ”菜单 项 ,在 “备份 工具 的 还 原 向 导 中 还 原 整个 系统 或 还 原 被 破坏 
的 数据 。 要 还 原 常 规 数据 ,打开 “备份 "工具 窗口 的 “欢迎 ”选项 卡 ,然后 单 击 “ 还 原 ” 按 钮 , 打 
开 “ 还 原 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 ,打开 “还 原 项 目 ” 界 面 ( 见 图 13-5) ,选择 还 原文 件 
或 还 原 设备 之 后 , 单 击 " 下 一 步 ”按钮 继续 向 导 即 可 。 


各 从 或 还 原 身 导 习 

还 原 项 目 
您 可 还 原 任何 组 全 形式 的 邓 动 器 、 娘 件 夫 到 女 件 ， 上 f 权 | 
到 


Ej 内 然后 ， 选 择 想 要 还 原 的 驱 


= 到 


《< 上 - 步 加 | 下 - 步 如 >| 。 取消 
图 13-5 “备份 或 还 原 向 导 ” 对 话 框 


(7) 命令 行 模式 还 原 。 如 果 系 统 故 障 非常 严重 ,无 法 打开 正常 模式 或 安全 模式 ,可 以 按 
照 上 面 介 绍 的 方法 打开 启动 模式 菜单 ,选择 * 带 命令 行 提示 的 安全 模式 ”, 用 管理 员 身 份 合 
录 , 打 开 “%systemroot%\windows\system32\restore” 目 录 , 直 接 运行 其 中 的 rstrui. exe 文 
件 按照 提示 进行 还 原 。 

如 果 用 完了 上 述 的 方法 后 ,系统 还 是 不 能 正常 恢复 的 话 , 那 就 只 剩 下 一 招 一 一 重 装 系 统 
了 。 它 可 是 最 彻底 、 最 坚决 的 解决 方法 。 

2. 常用 软件 备份 /恢复 方案 

1) 常用 的 专业 的 备份 软件 

常用 的 专业 的 备份 软件 如 下 。 

(1) Veritas 公司 : 高 端 NetBackup ,适用 于 大 中 型 存储 系统 ,提供 提高 数据 可 靠 性 的 强 
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大 的 数据 保护 解决 方案 ,支持 复杂 的 网 络 备份 和 LAN-Free 备份 ; 低 端 Backup Exec, 业 界 
公认 标准 的 备份 解决 方案 ,获得 MS 认证 ,适用 于 Windows 系统 环境 ,直观 的 用 户 界面 ,有 
限 支持 UNIX 和 Linux。 

(2) Legato 公司 : NetWorker, 适 用 于 大 型 网 络 环境 ,广泛 支持 各 种 开放 系统 平台 ， 
供 C/S 体系 结构 下 网 络 数 据 存 储 的 管理 模式 ,实现 了 网 络 数据 备份 额度 全 自动 集中 式 管 
理 ,提供 良好 的 存储 介质 管理 思想 。 

(3) CA 公司 : BrightStor ARCServer Backup ,在 低 端 市 场 具 有 广泛 的 影响 力 。 整 合 后 
的 新 一 代 备 份 产 品 ,提供 了 全 面 的 数据 保护 解决 方案 ,支持 广泛 的 平台 ,集中 管理 备份 环境 。 

(4) BakBone 公司 : 致力 于 开发 符合 用 户 需求 ,适合 业界 标准 以 及 适应 未 来 扩充 的 产 
品 架构 ,主要 提供 面向 用 户 、 以 用 户 为 核心 的 备份 管理 工具 一 一 NetVault。 

2) 常用 软件 的 自 定 义 备份 /恢复 

常用 软件 安装 后 ,我 们 都 喜欢 对 这 些 软件 界面 .操作 和 内 容 等 方面 进行 自 定义 设置 ,这 
样 的 软件 使 用 起 来 才 会 更 加 得 心 应 手 。 但 是 随 着 系统 的 重 装 或 设备 的 更 换 , 重 装 这 些 常用 
软件 后 ,总 要 一 个 一 个 地 重新 设置 ,非常 麻烦 。 如 果 能 提前 把 这 些 自 定义 部 分 的 内 容 备份 下 
来 ,到 时 只 需 恢复 一 下 即 可 ,那样 就 非常 轻松 。 下 面 罗 列 了 常用 的 文档 编辑 软件 Office、 压 
缩 /解压 缩 软件 WinRAR ,看 图 软件 ACDSee V7.0, 详 细 介 绍 这 些 常 用 软件 的 自 定义 备份 / 
恢复 过 程 。 

(1) Office 2000。Office 2000 中 的 个 人 自 定义 设置 的 备份 和 恢复 操作 相对 简单 ,选择 
“开始 ”> “程序 ”一 “Microsoft Office 工具 ”一 “用 户 设置 保存 向 导 ” 菜 单项 (Office 2007/ 
2010 在 “文件 ”>“ 选 项 ”一 “保存 ”) ,系统 会 要 求 你 选择 保存 或 恢复 用 户 设置 ( 见 图 13-6)。 
只 要 把 生成 的 扩展 名 为 . ops 的 文件 保存 好 ,利用 该 向 导 就 可 以 非常 轻松 地 备份 或 恢复 
Office 中 纷乱 元 杂 的 自 定义 设置 。 


日 Microsoft Office 风 卢 役 轩 你 存 负 避 Baiel Ed| 


保存 或 恢复 设置 图 


您 可 以 保存 本 机 的 量 eroseft 0ffiee 设置 ,或 格 原 先 保存 的 设置 恢复 应 用 到 本 机 上 。 


他 保存 本 机 的 设置 @) 
这 样 您 可 以 保存 本 机 的 设置 。 您 还 可 以 将 这 些 已 保存 的 设置 恢复 应 用 到 本 机 或 其 地 机 器 上 。 


个 将 原先 保存 的 设置 恢复 应 用 到 本 机 上 下 ) 


这 样 您 可 以 将 原先 保存 的 设置 恢复 应 用 到 本 机 上 。 
ww | mm | ‘sv 


图 13-6 “用 户 设置 保存 向 导 ” 对 话 框 


(2) WinRAR。 在 WinRAR 中 ,通过 “选项 ”设置 ?菜单 项 对 其 进行 自 定 义 设置 , 利 
用 WinRAR 的 “导入 /导出 ?功能 .可 以 轻松 地 备份 和 恢复 这 些 自 定义 的 个 人 设置 。 选 择 “ 选 
项 ”>“ 导 人 /导出 ”>“ 导 出 设置 到 文件 ”菜单 项 ( 见 图 13-7) ,将 其 自 定义 设置 导出 为 一 个 
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Settings. reg 文件 ,保存 在 WinRAR 的 安装 文件 夹 中 ,把 该 文件 备份 到 非 系统 分 区 即 可 。 需 
要 恢复 时 ,双击 该 文件 ,把 信息 导入 注册 表 ; 或 者 先 把 该 文件 复制 到 WinRAR 的 安装 文件 
夹 ,再 选择 “选项 ”>“ 导 入 /导出 ”>|“ 从 文件 导入 设置 "菜单 项 即 可 恢复 。 


开关 2005 年 六 4 晴 红 号 - WinRAR ( 许 全 版本 ) 


文件 (命令 () 收 襄 天 (0) | 选项 (W) 玫 助 中 


3 ri ,Re 
添加 ”解压 管 到 测试 。 查看 日 老 (D... CuitL 


| 国 | rr EO 
13-7 WinRAR 软件 窗口 


(3) ACDSee。 通 过 ACDSee 的 “工具 ”>“ 选 项 ”命令 可 以 自 定义 窗口 、 浏 览 器 、 文 件 列 
表 等 很 多 内 容 ( 见 图 13-8) ,使 其 更 方便 我 们 的 使 用 。 要 想 把 这 些 自 定义 的 内 容 备份 下 来 并 
不 难 , 打 开 注 册 表 编辑 器 ,找到 如 下 分 支 ; HKEY_CURRENT_USER\Software\ ACD 
Systems\ACDSee\60, 在 该 分 支 上 布 击 ,选择 “导出 ”命令 ,把 该 分 支 导 出 成 注册 表 文 件 即 
可 。 需 要 恢复 时 只 需 双击 该 注册 表 文件 ,将 其 导入 注册 表 , 即 可 快速 恢复 ACDSee 的 自 定 义 
设置 。 


EE | 
显示 
三 鲁 口 大 小 四) - 青 景 
个 改变 贸 口 大 小 以 适合 图 像 三 默认 碳 色 Q) 
i Be | | 
友 保存 窗口 位 置 @) 于 二 回访 。 测 响 @ | 
默认 巡 放 模式 2); [区 本 西光 刁 
厂 在 等 个 图 便 更 收 时 关连 牧 放 模 式 为 默认 值 
调整 大 小 多); 充 减 今 了 
和 要 为 叶 认 从 mW | ww | 


13-8 “选项 ”对 话 框 


13.2 数据库 系统 安全 


数据 库 的 安全 性 是 指 保护 数据 库 以 防止 非法 用 户 访问 数据 库 ,造成 数据 泄露 .更 改 或 破 
坏 。 在 数据 库 系 统 中 大 量 数据 集中 存放 ,并 为 许多 用 户 直接 共享 ,数据 库 的 安全 性 相对 于 其 
他 系统 尤其 重要 。 实 现 数据 库 的 安全 性 是 数据 库 管理 系统 的 重要 指标 之 一 。 

数据 库 的 安全 性 不 是 孤立 的 。 在 网 络 环境 下 ,数据 库 的 安全 性 与 三 个 层次 相关 : 网 络 
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系统 层 ,操作 系统 层 数据库 管 理 系统 层 。 这 三 层 共 同 构筑 起 数据 库 的 安全 体系 ,它们 与 数 
据 库 的 安全 性 逐步 紧密 ,重要 性 逐 层 加 强 , 从 外 到 内 保证 数据 库 的 安全 性 。 在 规划 和 设计 数 
据 库 的 安全 性 时 ,要 综合 每 一 层 的 安全 性 ,使 三 层 之 间 相 互 支持 和 配合 ,提高 整个 系统 的 安 
全 性 。 在 此 只 讨论 数据 库 管 理 系统 对 数据 库 进 行 安全 管理 的 问题 ,网 络 系统 层 的 安全 性 、 操 
作 系统 层 的 安全 性 不 做 介绍 。 

影响 数据 库 安 全 性 的 因素 很 多 ,不 仅 有 软 硬 件 因 素 , 还 有 环境 和 人 的 因素 ; 不 仅 涉及 技 
术 问 题 ,还 涉及 管理 问题 .政策 法 律 问题 等 。 其 内 容 包 括 计 算 机 安全 理论 ,策略 ,技术 ,计算 
机 安全 管理 .评价 ,监督 ,计算 机 安全 犯罪 .侦察 ,法律 等 。 概 括 起 来 ,计算 机 系统 的 安全 性 问 
题 可 分 为 三 大 类 , 即 技术 安全 类 管理 安全 类 和 政策 法 律 类 。 此 处 只 在 技术 层面 介绍 数据 库 
的 安全 性 。 


13.2.1 数据 库 安全 概述 

1. 数据 库 基 本 概念 

1) 数据 库 简 介 

数据 库 是 依照 某 种 数据 模型 组 织 起 来 并 存放 在 二 级 存储 器 中 的 数据 集合 。 这 种 数据 集 
合 具有 如 下 特点 : 尽 可 能 不 重复 ,以 最 优 方式 为 某 个 特定 组 织 的 多 种 应 用 服务 ,其 数据 结构 
独立 于 使 用 它 的 应 用 程序 ,对 数据 的 增 、 删 、 改 和 检索 由 统一 软件 进行 管理 和 控制 。 从 发 展 
的 历史 看 ,数据库 是 数据 管理 的 高 级 阶段 , 它 是 由 文件 管理 系统 发 展 起 来 的 。 

2) 数据 库 中 数据 的 性 质 

数据 库 中 的 数据 具有 如 下 性 质 。 

(1) 数据 整体 性 。 数 据 库 是 一 个 单位 或 是 一 个 应 用 领域 的 通用 数据 处 理 系 统 , 它 存储 
的 是 属于 企业 和 事业 部 门 、 团 体 和 个 人 的 有 关 数 据 的 集合 。 数 据 库 中 的 数据 是 从 全 局 观点 
出 发 建立 的 , 它 按 一 定 的 数据 模型 进行 组 织 、 描 述 和 存储 。 其 结构 基于 数据 间 的 自然 联系 ， 
从 而 可 提供 一 切 必要 的 存 取 路 径 , 且 数据 不 再 针对 某 一 应 用 ,而 是 面向 全 组 织 ,具有 整体 的 
结构 化 特征 。 

(2) 数据 共享 性 。 数 据 库 中 的 数据 是 为 众多 用 户 所 共享 其 信息 而 建立 的 ,已 经 摆脱 了 
具体 程序 的 限制 和 和 制约。 不同 的 用 户 可 以 按 各 自 的 用 法 使 用 数据 库 中 的 数据 ; 多 个 用 户 可 
以 同时 共享 数据 库 中 的 数据 资源 , 即 不 同 的 用 户 可 以 同时 存 取 数据 库 中 的 同一 个 数据 。 数 
据 共享 性 不 仅 满 足 了 各 用 户 对 信息 内 容 的 要 求 , 同 时 也 满足 了 各 用 户 之 间 信 息 通信 的 要 求 。 

3) 数据 库 的 基本 属性 

数据 库 的 基本 属性 如 下 。 

(1) 基本 结构 。 

数据 库 的 基本 结构 分 三 个 层次 ,反映 了 观察 数据 库 的 三 种 不 同 角度 。 

@ 物理 数据 层 。 它 是 数据 库 的 最 内 层 , 是 物理 存储 设备 上 实际 存储 的 数据 的 集合 。 这 
些 数据 是 原始 数据 ,是 用 户 加 工 的 对 象 .由 内 部 模式 描述 的 指令 操作 处 理 的 位 串 、 字 符 和 字 
组 成 。 

@ 概念 数据 层 。 它 是 数据 库 的 中 间 一 层 , 是 数据 库 的 整体 逻辑 表示 。 它 指出 了 每 个 数 
据 的 逻辑 定义 及 数据 间 的 逻辑 联系 ,是 存储 记录 的 集合 。 它 所 涉及 的 是 数据 库 所 有 对 象 的 
逻辑 关系 ,而 不 是 它们 的 物理 情况 .是 数据 库 管 理 员 概 念 下 的 数据 库 。 
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@ 逻辑 数据 层 。 它 是 用 户 所 看 到 和 使 用 的 数据 库 ,表示 了 一 个 或 一 些 特定 用 户 使 用 的 
数据 集合 , 即 逻 辑 记 录 的 集合 。 

数据 库 不 同 层次 之 间 的 联系 是 通过 映射 进行 转换 的 。 

(2) 主要 特点 。 

数据 库 主要 具有 如 下 特点 。 

@ 实现 数据 共享 。 数据 共 享 包含 所 有 用 户 可 同时 存 取 数据 库 中 的 数据 ,也 包括 用 户 可 
以 用 各 种 方式 通过 接口 使 用 数据 库 , 并 提供 数据 共享 。 

@ 减少 数据 的 元 余 度 。 同 文件 系统 相 比 ,由 于 数据 库 实现 了 数据 共享 ,从 而 避免 了 用 
户 各 自 建立 应 用 文件 ,减少 了 大 量 重复 数据 ,减少 了 数据 元 余 ,维护 了 数据 的 一 致 性 。 

@ 数据 的 独立 性 。 数 据 的 独立 性 包括 数据 库 中 数据 库 的 逻辑 结构 和 应 用 程序 相互 独 
立 , 也 包括 数据 物理 结构 的 变化 不 影响 数据 的 逻辑 结构 。 

@ 数据 实现 集中 控制 。 文 件 管理 方式 中 ,数据 处 于 一 种 分 散 的 状态 ,不 同 的 用 户 或 同 
一 用 户 在 不 同 处 理 中 其 文件 之 间 毫 无 关系 。 利 用 数据 库 可 对 数据 进行 集中 控制 和 管理 ,并 
通过 数据 模型 表示 各 种 数据 的 组 织 以 及 数据 间 的 联系 。 

@ 数据 一 致 性 和 可 维护 性 ,以 确保 数据 的 安全 性 和 可 靠 性 。 主 要 包括 : 安全 性 控 
制 一 一 以 防止 数据 丢失 错误 更 新 和 越权 使 用 ; 完整 性 控制 一 一 保证 数据 的 正确 性 有效 性 
和 相 容 性 ; 并 发 控制 一 一 使 在 同一 时 间 周 期 内 ,允许 对 数据 实现 多 路 存 取 ,又 能 防止 用 户 之 
间 的 不 正常 交互 作用 ; 故障 的 发 现 和 恢复 一 一 由 数据 库 管 理 系统 提供 一 套 方法 ,可 及 时 发 
现 故 障 和 修复 故障 ,从 而 防止 数据 被 破坏 。 

@ 故障 恢复 。 由 数据 库 管 理 系 统 提供 一 套 方法 ,可 及 时 发 现 故 障 和 修复 故障 ,从 而 防 
止 数据 被 破坏 。 数 据 库 系统 能 尽快 恢复 数据 库 系统 运行 时 出 现 的 故障 ,可 能 是 物理 上 或 是 
逻辑 上 的 错误 ,比如 对 系统 的 误 操作 造成 的 数据 错误 等 。 

(3) 数据 库 的 种 类 。 

数据 库 通 常 分 为 层次 式 数据 库 、 网 络 式 数据 库 和 关系 式 数据 库 三 种 。 而 不 同 的 数据 库 
是 按 不 同 的 数据 结构 来 联系 和 组 织 的 。 

QO@ 数据 结构 模型 。 

a. 数据 结构 。 

所 谓 数据 结构 是 指数 据 的 组 织 形 式 或 数据 之 间 的 联系 。 如 果 用 D 表示 数据 ,用 尺 表示 
数据 对 象 之 间 存 在 的 关系 集合 , 则 将 DS= (D,R) 称 为 数据 结构 。 例 如 , 设 有 一 个 电话 号 码 
短 , 它 记录 了 7 个 人 的 名 字 和 相应 的 电话 号 码 。 为 了 方便 地 查找 某 人 的 电话 号 码 , 将 人 名 和 
号 码 按 字典 顺序 排列 ,并 在 名 字 的 后 面 跟随 着 对 应 的 电话 号 码 。 这 样 , 若 要 查找 某 人 的 电话 
号 码 ( 假 定 他 的 名 字 的 第 一 个 字母 是 Y) ,那么 只 需 查找 以 Y 开头 的 那些 名 字 就 可 以 了 。 该 
例 中 ,数据 的 集合 D 就 是 人 名 和 电话 号 码 ,它们 之 间 的 联系 R 就 是 按 字典 顺序 的 排列 ,其 相 
应 的 数据 结构 就 是 DS 王 CD,R) , 即 一 个 数组 。 

b. 数据 结构 种 类 。 

数据 结构 又 分 为 数据 的 逻辑 结构 和 数据 的 物理 结构 。 数 据 的 逻辑 结构 是 从 逻辑 的 角度 
( 即 数据 间 的 联系 和 组 织 方 式 ) 来 观察 数据 ,分 析 数 据 , 与 数据 的 存储 位 置 无 关 。 数 据 的 物理 
结构 是 指数 据 在 计算 机 中 存放 的 结构 , 即 数据 的 逻辑 结构 在 计算 机 中 的 实现 形式 ,所 以 物理 
结构 也 被 称 为 存储 结构 。 这 里 只 研究 数据 的 逻辑 结构 ,并 将 反映 和 实现 数据 联系 的 方法 称 
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目前 ,比较 流行 的 数据 模型 有 三 种 , 即 按 图 论 理 论 建立 的 层次 结构 模型 和 网 状 结构 模型 
以 及 按 关 系 理论 建立 的 关系 结构 模型 。 

@ 层次 、 网 状 和 关系 数据 库 系统 。 

a. 层次 结构 模型 。 

层次 结构 模型 实质 上 是 一 种 有 根 节点 的 定向 有 序 树 ( 在 数学 中 “ 树 ” 被 定义 为 一 个 无 回 
的 连通 图 )。 按 照 层 次 模型 建立 的 数据 库 系 统称 为 层次 模型 数据 库 系统 。IMS(JInformation 
Management System) 是 其 典型 代表 。 

b. 网 状 结构 模型 。 

按照 网 状 数据 结构 建立 的 数据 库 系 统称 为 网 状 数据 库 系统 ,其 典型 代表 是 DBTG(Data 
Base Task Group)。 用 数学 方法 可 将 网 状 数据 结构 转化 为 层次 数据 结构 。 

c. 关系 结构 模型 。 

关系 式 数据 结构 把 一 些 复杂 的 数据 结构 归结 为 简单 的 二 元 关系 ( 即 二 维 表格 形式 )。 例 
如 某 单位 的 职工 关系 就 是 一 个 二 元 关系 。 

由 关系 数据 结构 组 成 的 数据 库 系统 称 关系 数据 库 系统 。 

在 关系 数据 库 中 ,对 数据 的 操作 几乎 全 部 建立 在 一 个 或 多 个 关系 表格 上 ,通过 对 这 些 关 
系 表格 的 分 类 合并、 连接 或 选取 等 运算 来 实现 数据 的 管理 。dBASE 了 就 是 这 类 数据 库 管 
理 系统 的 典型 代表 。 对 于 一 个 实际 的 应 用 问题 (如 人 事 管理 问题 ), 有 时 需要 多 个 关系 才能 
实现 。 用 dBASE 了 建立 起 来 的 一 个 关系 称 为 一 个 数据 库 ( 或 称 数据 库 文件 ) ,而 把 对 应 多 个 
关系 建立 起 来 的 多 个 数据 库 称 为 数据 库 系统 。dBASE [的 另 一 个 重要 功能 是 通过 建立 命 
令 文件 来 实现 对 数据 库 的 使 用 和 管理 ,对 于 一 个 数据 库 系 统 , 相 应 的 命令 序列 文件 , 称 为 该 
数据 库 的 应 用 系统 。 因 此 ,可 以 概括 地 说 ,一 个 关系 称 为 一 个 数据 库 ,若干 个 数据 库 可 以 构 
成 一 个 数据 库 系 统 。 数 据 库 系统 可 以 派生 出 各 种 不 同类 型 的 辅助 文件 和 建立 它 的 应 用 
系统 。 

4) 数据 库 的 安全 性 

(1) 数据 安全 的 重要 性 。 

数据 安全 的 重要 性 表现 在 以 下 几 个 方面 。 

@ 保护 系统 敏感 信息 和 数字 资产 不 受 非法 访问 。 任 何 公 司 的 主要 电子 数字 资产 都 存 
储 在 现代 的 关系 数据 产品 中 。 商 业 机 构 和 政府 组 织 都 是 利用 这 些 数据 库 服务 器 得 到 人 事 信 
息 , 如 员工 的 工资 表 、 医 疗 记录 等 。 因 此 他 们 有 责任 保护 别人 的 隐私 ,并 为 他 们 保密 。 数 据 
库 服 务 器 还 存 有 以 前 的 和 将 来 的 敏感 的 金融 数据 ,包括 贸易 记录 、 商 业 合同 及 账 务 数据 等 。 
像 技术 的 所 有 权 、 工 程 数据 ,甚至 市 场 企划 等 决策 性 的 机 密 信 息 ,必须 对 竞争 者 保密 ,并 阻止 
非法 访问 ,数据 库 服务 器 还 包括 详细 的 顾客 信息 ,如 财务 账目 、 信 用 卡号 及 商业 伙伴 的 信用 
信息 等 。 

@ 数据 库 是 个 极为 复杂 的 系统 ,因此 很 难 进 行 正确 的 配置 和 安全 维护 。 数 据 库 服务 器 
的 应 用 相当 复杂 ,掌握 起 来 非常 困难 一 一 当然 竞争 者 使 用 的 操作 系统 也 是 一 样 的 复杂 。 诸 
如 Oracle、Sybase、Microsoft SQL 服务 器 都 具有 以 下 特征 : 用 户 账号 及 密码 、 校 验 系统 、 优 
先 级 模型 和 控制 数据 库 目 标的 特别 许可 、 内 置式 命令 (存储 的 步骤 或 包 ) 唯一 的 脚本 和 编程 
语言 (通常 为 SQL 的 特殊 衍生 语 ) .middleware、 网 络 协议 .补丁 和 服务 包 、 强 有 力 的 数据 库 
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管理 实用 程序 和 开发 工具 。 许 多 DBA 都 忙于 管理 复杂 的 系统 ,所 以 很 可 能 没有 检查 出 严 
重 的 安全 隐患 和 不 当 的 配置 ,甚至 根本 没有 进行 检测 。 所 以 , 正 是 由 于 传统 的 安全 体系 在 很 
大 程度 上 忽略 了 数据 库 安全 这 一 主题 ,使 数据 库 专业 人 员 也 通常 没有 把 安全 问题 当做 他 们 
的 首要 任务 。“ 自 适应 网 络 安全 ”的 理念 (将 安全 问题 看 作 持续 不 断 的 “工作 进程 ”, 而 不 是 一 
次 性 的 检查 ) 并 未 被 大 多 数 数据 库 管 理 者 所 接受 。 

保障 数据 库 服 务 器 上 的 网 络 和 操作 系统 数据 安全 是 至 关 重 要 的 ,但 这 些 措 施 对 于 保护 
数据 库 服务 器 的 安全 还 很 不 够 。 

在 许多 资深 安全 专家 中 普遍 存在 着 一 个 错误 概念 ,他 们 认为 : 一 旦 访问 并 锁定 了 关键 
的 网 络 服务 和 操作 系统 的 漏洞 ,服务 器 上 的 所 有 应 用 程序 就 得 到 了 安全 保障 。 现 代数 据 库 
系统 具有 多 种 特征 和 性 能 配置 方式 ,在 使 用 时 可 能 会 误 用 ,或 危及 数据 的 保密 性 、 有 效 性 和 
完整 性 。 首 先 ,所 有 现代 关系 型 数据 库 系统 都 是 “可 从 端口 寻 址 的 ”, 这 意味 着 任何 人 只 要 有 
合适 的 查询 工具 ,就 都 可 与 数据 库 直 接 相 连 , 并 能 躲 开 操作 系统 的 安全 机 制 。 例 如 : 可 以 用 
TCP/IP 从 1521 和 1526 端口 访问 Oracle 7.3 和 8 数据 库 。 多 数 数据 库 系 统 还 有 众所周知 
的 默认 账号 和 密码 ,可 支持 对 数据 库 资 源 的 各 级 访问 。 这 两 个 简单 的 数据 相 结合 ,很 多 重要 
的 数据 库 系统 很 可 能 受到 威胁 。 不 幸 的 是 ,高 水 平 的 入侵 者 还 没有 停止 对 数据 库 的 攻击 。 

@ 拙劣 的 数据 库 安全 保障 设施 不 仅 会 危及 数据 库 的 安全 ,还 会 影响 到 服务 器 的 操作 系 
统 和 其 他 信用 系统 。 

还 有 一 个 不 很 明显 的 原因 说 明了 保证 数据 库 安全 的 重要 性 一 一 数据 库 系统 自身 可 能 会 
提供 危及 整个 网 络 体系 的 机 制 。 例 如 , 某 个 公司 可 能 会 用 数据 库 服 务 器 保存 所 有 的 技术 手 
册 文档 和 白皮书 的 库存 清单 。 数 据 库 里 的 这 些 信息 并 不 是 特别 重要 的 ,所 以 它 的 安全 优先 
级 别 不 高 。 即 使 运行 在 安全 状况 良好 的 操作 系统 中 ,入 侵 者 也 可 通过 “扩展 入 驻 程 序 ”" 等 强 
有 力 的 内 置 数据 库 特 征 ,利用 对 数据 库 的 访问 ,获取 对 本 地 操作 系统 的 访问 权限 。 这 些 程序 
可 以 发 出 管理 员 级 的 命令 ,访问 基本 的 操作 系统 及 其 全 部 的 资源 。 如 果 这 个 特定 的 数据 库 
系统 与 其 他 服务 器 有 信用 关系 ,那么 人 侵 者 就 会 危及 整个 网 络 域 的 安全 。 

@ 数据 库 是 新 型 电子 交易 、 企 业 资源 规划 (ERP) 和 其 他 重要 商业 系统 的 基础 。 

在 电子 商务 .电子 贸易 的 着 眼 点 集中 于 Web 服务 器 .Java 和 其 他 新 技术 的 同时 ,应 该 记 
住 这 些 以 用 户 为 导向 和 企业 对 企业 的 系统 都 是 以 Web 服务 器 后 的 关系 数据 库 为 基础 的 。 
它们 的 安全 直接 关系 到 系统 的 有 效 性 、 数 据 和 交易 的 完整 性 \ 保 密 性 。 系 统 拖 延 效 率 欠 佳 ， 
不 仅 影 响 商 业 活 动 , 还 会 影响 公司 的 信誉 。 不 可 避免 地 ,这 些 系 统 受到 入 侵 的 可 能 性 更 大 ， 
但 是 并 未 对 商业 伙伴 和 客户 敏感 信息 的 保密 性 加 以 更 有 效 的 防范 。 此 外 ,ERP 和 管理 系 
统 , 如 ASPR/3 和 PeopleSoft 等 ,都 是 建立 在 相同 标准 的 数据 库 系统 中 。 无 人 管理 的 安全 
漏洞 与 时 间 拖 延 、. 系 统 完整 性 问题 和 客户 信任 等 有 直接 的 关系 。 

(2) 数据 库 安 全 需求 。 

与 其 他 计算 机 系统 (如 操作 系统 ) 的 安全 需求 类 似 , 数 据 库 系统 的 安全 需求 可 以 归纳 为 
完整 性 、 保 密 性 和 可 用 性 三 个 方面 。 

@ 数据 库 的 完整 性 。 数 据 库 系统 的 完整 性 主要 包括 物理 完整 性 和 届 辑 完整 性 。 物 理 
完整 性 是 指 保证 数据 库 的 数据 不 受 物理 故障 (如 硬件 故障 、 掉 电 等 ) 的 影响 ,并 有 可 能 在 灾难 
性 毁坏 时 重建 和 恢复 数据 库 。 逻 辑 完整 性 是 指 对 数据 库 逻 辑 结构 的 保护 ,包括 数据 的 语义 
完整 性 与 操作 完整 性 。 前 者 主要 指数 据 存 取 在 逻辑 上 满足 完整 性 约束 ,后 者 主要 指 在 并 发 
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事务 中 保证 数据 的 逻辑 一 致 性 。 

@ 数据 库 的 保密 性 。 数 据 库 的 保密 性 是 指 不 允许 未 经 授权 的 用 户 存 取 数据 。 一 般 要 
求 对 用 户 的 身份 进行 标识 与 鉴别 ,并 采取 相应 的 存 取 控 制 策略 以 保证 用 户 仅 能 访问 授权 数 
据 , 同 一 组 数据 的 不 同 用 户 可 以 被 赋予 不 同 的 存 取 权 限 。 同 时 ,还 应 能 够 对 用 户 的 访问 操作 
进行 跟踪 和 审计 。 此 外 ,还 应 该 控制 用 户 通过 推理 的 方式 从 经 过 授权 的 已 知 数据 获取 未 经 
授权 的 数据 ,造成 信息 泄漏 。 

@ 数据 库 的 可 用 性 。 数 据 库 的 可 用 性 是 指 不 应 拒绝 授权 用 户 对 数据 库 的 正常 操作 , 同 
时 保证 系统 的 运行 效率 并 提供 用 户 友 好 的 人 机 交互 。 一 般 而 言 ,数据 库 的 保密 性 和 可 用 性 
是 一 对 矛盾 。 对 这 一 矛盾 的 分 析 与 解决 构成 了 数据 库 系 统 的 安全 模型 和 一 系列 安全 机 制 的 
主要 目标 。 

13.2.2 数据 库 的 安全 评估 和 审计 

1. 数据 库 的 审计 

数据 库 审计 是 指 监视 和 记录 用 户 对 数据 库 所 施加 的 各 种 操作 的 机 制 。 按 照 美 国 国防 部 
TCSEC/TDI 标准 中 关于 安全 策略 的 要 求 , 审 计 功能 是 数据 库 系 统 达到 C2 以 上 安全 级 别 必 
不 可 少 的 一 项 指标 。 

审计 功能 把 用 户 对 数据 库 的 所 有 操作 自动 记录 下 来 , 存 入 审计 日 志 , 事 后 可 以 利用 审计 
信息 , 重 现 导 致 数据 库 现 有 状况 的 一 系列 事件 ,提供 分 析 攻 击 者 线索 的 依据 。 数 据 库 管理 系 
统 的 审计 主要 分 为 语句 审计 ,特权 审计 、 模 式 对 象 审计 和 资源 审计 。 语 句 审计 是 指 监视 一 个 
或 者 多 个 特定 用 户 或 者 所 有 用 户 提 交 的 SQL 语句 ; 特权 审计 是 指 监视 一 个 或 者 多 个 特定 
用 户 或 者 所 有 用 户 使 用 的 系统 特权 ; 模式 对 象 审计 是 指 监视 一 个 模式 里 在 一 个 或 者 多 个 对 
象 上 发 生 的 行为 ; 资源 审计 是 指 监视 分 配给 每 个 用 户 的 系统 资源 。 审 计 机 制 应 该 至 少 记 录 
以 下 类 型 的 事件 : 用 户 标识 和 认证 、 客 体 访 问 、 授 权 用 户 进行 的 会 影响 系统 安全 的 操作 以 及 
其 他 安全 相关 事件 。 对 于 每 个 被 记录 下 来 的 事件 ,审计 记录 中 需要 包括 事件 时 间 、 用 户 、 事 
件 类 型 事件 数据 和 事件 的 成 功 /失败 情况 。 对 于 标识 和 认证 事件 ,其 事件 源 的 终端 ID、 源 
地 址 等 必须 被 记录 下 来 。 对 于 访问 和 删除 对 象 的 事件 需要 记录 对 象 的 名 称 。 

审计 的 策略 库 一 般 由 两 个 方面 因素 构成 : 一 是 数据 库 本 身 可 选 的 审计 规则 ,二 是 管理 
员 设 计 触 发 策略 机 制 。 当 这 些 审计 规则 或 策略 机 制 一 旦 被 触发 ,将 引起 相关 的 表 操作 。 这 
些 表 可 能 是 数据 库 自己 定义 好 的 ,也 可 能 是 管理 员 另外 定义 的 ,最 终 这 些 审 计 的 操作 都 将 被 
记录 在 特定 的 表 中 以 备查 证 。 一 般 地 ,将 审计 跟踪 和 数据 库 日 志 记录 结合 起 来 ,会 达到 更 好 
的 安全 审计 效果 。 对 于 审计 粒度 与 审计 对 象 的 选择 ,需要 考虑 系统 运行 效率 与 存储 空间 消 
耗 的 问题 。 为 达到 审计 目的 ,一 般 必须 审计 到 对 数据 库 记 录 与 字段 一 级 的 访问 ,但 这 种 小 粒 
度 的 审计 需要 消耗 大 量 的 存储 空间 ,同时 使 系统 的 响应 速度 降低 ,给 系统 运行 效率 带 来 
影响 。 

2. 数据 库 的 安全 评估 

20 世纪 70 年 代 初 .美国 军 方 率先 发 起 对 多 级 安全 数据 库 管理 系统 (Multilevel Secure 
Database Management System,MLS DBMS) 的 研究 。 此 后 ,一 系列 数据 库 安全 模型 被 提 
出 。20 世纪 80 年 代 , 美 国 国防 部 根据 军用 计算 机 系统 的 安全 需要 ,制定 了 《可 信 计 算 机 系 
统 安全 评估 标准 》(Trusted Computer System Evaluation Criteria,TCSEC) 以 及 该 标准 的 可 
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信 数 据 库 系 统 的 解释 (Trusted Database Interpretation ,TDDI) ,形成 了 最 早 的 信息 安全 及 数 
据 库 安全 评估 体系 。TCSEC/TDI 将 系统 安全 性 分 为 4 组 7 个 等 级 。 

1) D 类 安全 等 级 

DD 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 。D1 系统 只 为 文件 和 用 户 提 
供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 保护 的 网 络 。 

2) C 类 安全 等 级 

C 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 审计 能 力 。C 类 安全 
等 级 可 划分 为 C1 和 C2 两 类 。C1 系统 的 可 信任 运算 基础 体制 (Trusted Computing Base， 
TCB) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 Cl 系统 中 ,所 有 的 用 户 以 同样 的 灵敏 
度 来 处 理 数据 , 即 用 户 认为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。C2 系统 比 C1 系 
统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ,C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。 
C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具有 Cl 系统 中 所 有 
的 安全 性 特征 。 

3) B 类 安全 等 级 

B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功能 。 强 制 性 保护 
意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。Bl1 系统 满足 下 列 要 
求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 用 灵敏 度 标记 作为 所 有 强迫 
访问 控制 的 基础 ; 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 它们 ; 灵敏 度 标记 必须 
准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 当 系 统管 理 员 创建 系统 或 者 增加 新 的 通信 通道 或 
1/O 设 备 时 ,管理 员 必 须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 还 是 多 级 ,并 且 管 理 员 只 能 手 
工 改 变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ; 所 有 直接 面向 用 户 位 置 的 输出 
(无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ; 系统 必须 使 用 
用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 审计 来 记录 未 授权 访问 的 
企图 。 

B2 系统 必须 满足 B1 系统 的 所 有 要 求 。 另 外 ,B2 系统 的 管理 员 必 须 使 用 一 个 明确 的 、 
文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 系 
统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 ; 只 有 用 户 能 够 在 可 
信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 能 
力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 个 
别 对 象 的 访问 外 ,B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 没有 
访问 权 的 用 户 列 表 说 明 ; B3 系统 在 进行 任何 操作 前 ,要求 用 户 进 行 身份 验证 ; B3 系统 验证 
每 个 用 户 , 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 设计 者 必须 正确 区 分 可 信任 的 通 
信和 路 径 和 其 他 路 径 ; 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 可 
信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

4) A 类 安全 等 级 

人 A 系统 的 安全 级 别 最 高 。 目 前 ,A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 。Al 类 与 B3 
类 相似 ,对 系统 的 结构 和 策略 不 作 特 别 要 求 。Al 系统 的 显著 特征 是 ,系统 的 设计 者 必须 按 
照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 核对 技术 来 确保 系统 
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竺 合 设 计 规 范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 那里 接收 到 一 个 安 
全 策略 的 正式 模型 ; 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 管理 员 进 行 的 每 一 步 
安装 操作 都 必须 有 正式 文档 。 

在 信息 安全 保障 阶段 ,欧洲 四 国 ( 英 、 法 、 德 . 荷 ) 提 出 了 评价 满足 保密 性 、 完 整 性 、 可 用 性 
要 求 的 信息 技术 安全 评价 准则 (ITSEC) 后 ,美国 又 联合 以 上 诸 国 和 加 拿 大 ,并 会 同 国际 标准 
化 组 织 (OSD 共 同 提出 信息 技术 安全 评价 的 通用 准则 (CC for ITSEC) ,CC 已 经 被 五 个 技术 
发 达 的 国家 承认 为 代替 TCSEC 的 评价 安全 信息 系统 的 标准 。 目 前 ,CC 已 经 被 采纳 为 国家 
标准 ISO 15408。 这 些 标准 指导 了 安全 数据 库 系 统 的 研究 和 开发 安全 数据 库 及 其 应 用 系统 
研究 。 

在 安全 数据 库 需 求 以 及 信息 安全 标准 的 推动 下 ,国外 各 大 主流 数据 库 厂商 相继 推出 了 
各 自 的 安全 数据 库 产品 ,如 Sybase 公司 的 Secure SQL Server( 最 早 通过 Bl 级 安全 评估 )， 
Oracle 公司 的 Trusted Oracle 7,Informix 公司 的 Informix-online/Secure 5.0 等 。 近 几 年 ， 
Oracle 公司 的 Oracle 9i、Oracle 10g 从 用 户 认证 ,访问 控制 .加 密 存 储 和 审计 策略 等 方面 进 
一 步 加 强 了 安全 控制 功能 。 

我 国 从 20 世纪 80 年 代 开 始 进 行 数据 库 技术 的 研究 和 开发 ,从 20 世纪 90 年 代 初 开始 
进行 安全 数据 库 理 论 的 研究 和 实际 系统 的 研制 。2001 年 ,中 国 军 方 提出 了 我 国 最早 的 数据 
库 安 全 标准 一 一 (军用 数据 库 安全 评估 准则 》。2002 年 ,公安 部 发 布 了 公安 部 行业 标准 -一 
GA/T 389 一 2002:《 计 算 机 信息 系统 安全 等 级 保护 /数据 库 管 理 系 统 技术 要 求 》。 


13.2.3 数据库 的 安全 威胁 和 策略 

1. 数据 库 的 安全 威胁 

数据 库 运行 在 操作 系统 之 上 ,依赖 于 计算 机 硬件 ,所 以 数据 库 的 安全 依赖 于 操作 系统 的 
安全 和 计算 机 硬件 的 安全 。 同 时 数据 库 操作 人 员 的 非法 操作 和 不 法 分 子 的 蓄意 攻击 也 对 数 
据 库 的 安全 构成 重大 威胁 。 

综合 以 上 两 方面 ,可 以 看 到 数据 库 受 到 的 安全 威胁 主要 有 : 

(1) 硬件 故障 引起 的 信息 破坏 或 丢失 ,如 存储 设备 的 损坏 、 系 统 掉 电 等 造成 信息 的 丢失 
或 破坏 。 

(2) 软件 保护 失效 造成 的 信息 泄露 ,如 操作 系统 漏洞 .缺少 存储 控制 机 制 或 破坏 了 存储 
控制 机 制 , 造 成 信息 泄露 。 

(3) 应 用 程序 设计 出 现 漏洞 ,如 被 黑客 利用 安装 了 木马 。 

(4) 病毒 人 侵 系 统 ,造成 信息 丢失 、 泄 露 或 破坏 。 

(5) 计算 机 放置 在 不 安全 的 地 方 被 窃听 。 

(6) 授权 者 制定 了 不 正确 或 不 安全 的 防护 策略 。 

(7) 数据 错误 输入 或 处 理 错误 ,如 准备 输入 的 数据 在 输入 前 被 修改 ,机 密 数据 在 输入 前 
泄密 。 

(8) 非 授 权 用 户 的 非法 存 取 ,或 授权 用 户 的 越权 存 取 。 

数据 库 受 到 各 方面 的 安全 威胁 ,要 保证 数据 库 的 安全 ,必须 制定 合适 的 安全 策略 ,采取 
一 定 的 安全 技术 措施 ,才能 保证 数据 库 信息 的 不 泄露 .不 破坏 .不 被 删除 和 修改 。 
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2. 数据 库 的 安全 策略 

数据 库 的 安全 策略 是 指导 数据 库 操作 人 员 合 理 地 设置 数据 库 的 指导 思想 。 它 包括 以 下 
几 个 方面 。 

(1) 最 小 特权 策略 。 最 小 特权 原则 让 用 户 可 以 合法 地 存 取 或 修改 数据 库 的 前 提 下 ,分 
配 最 小 的 特权 ,使 得 这 些 信息 恰好 能 够 完成 用 户 的 工作 ,其 余 的 权利 一 律 不 给 。 因 为 对 用 户 
的 权限 进行 适当 的 控制 ,可 以 减少 泄密 的 机 会 和 破坏 数据 库 完 整 性 的 可 能 。 

(2) 最 大 共享 策略 。 最 大 共享 策略 就 是 在 保证 数据 库 完整 性 、 保 密 性 和 可 用 性 的 前 提 
下 ,最 大 程度 地 共享 数据 库 中 的 信息 。 

(3) 适当 粒度 策略 。 在 数据 库 中 ,将 数据 库 中 的 不 同 的 项 分 成 不 同 的 颗粒 ,颗粒 越 小 ， 
安全 级 别 越 高 。 通 常 要 根据 实际 决定 粒度 的 大 小 。 

(4) 按 内 容 存 取 控制 策略 。 根 据 数据 库 的 内 容 ,不同 的 权限 的 用 户 访问 数据 库 的 不 同 
的 部 分 。 

(5) 开 系统 和 闭 系统 策 略 。 数 据 库 在 开放 的 系统 中 采取 的 策略 为 开 系 统 策略 。 开 系统 
策略 即 除了 明确 禁止 的 项 目 ,数据 库 的 其 他 的 项 均 可 被 用 户 访问 。 数 据 库 在 封闭 系统 中 采 
取 的 策略 称 为 闭 系统 策略 。 闭 系统 策略 即 在 封闭 的 系统 中 ,除了 明确 授权 的 内 容 可 以 访问 ， 
其 余 的 均 不 可 以 访问 。 

(6) 按 存 取 类 型 控制 策略 。 根 据 授 权 用 户 的 存 取 策 略 , 设 定 存 取 方案 称 为 按 存 取 类 型 
控制 策略 。 

(7) 按 上 下 文 存 取 控制 策略 。 这 种 策略 包括 两 方面 : 一 方面 限制 用 户 在 其 一 次 请 求 中 
或 特定 的 一 组 相 邻 的 请 求 中 不 能 对 不 同属 性 的 数据 进行 存 取 ; 另 一 方面 可 以 规定 用 户 对 某 
些 不 同 的 属性 的 数据 必须 一 组 存 取 。 这 种 策略 是 根据 上 下 文 的 内 容 严格 控制 用 户 的 存 取 
区 域 。 

(8) 根据 历史 的 存 取 控制 策略 。 有 些 数 据 本 身 不 会 泄密 ,但 当 和 其 他 的 数据 或 以 前 的 
数据 联系 在 一 起 时 可 能 会 泄露 保密 的 信息 。 为 防止 这 种 推理 的 攻击 ,必须 记录 主 数 据 库 用 
户 过 去 的 存 取 历史 。 根 据 其 以 往 执 行 的 操作 ,来 控制 其 现在 提出 的 请 求 。 

数据 库 的 安全 本 身 很 复杂 ,并 不 是 简单 的 哪 一 种 策略 就 可 以 涵盖 的 ,所 以 制定 数据 库 的 
安全 策略 时 应 根据 实际 情况 ,遵循 一 种 或 几 种 安全 策略 才 可 以 更 好 地 保护 数据 库 的 安全 。 


13.2.4 数据 安全 的 基本 技术 

1. 数据 库 的 完整 性 和 可 靠 性 

数据 库 完 整 性 对 于 数据 库 应 用 系统 非常 关键 ,其 作用 主要 体现 在 以 下 几 个 方面 。 

(1) 数据 库 完整 性 约束 能 够 防止 合法 用 户 使 用 数据 库 时 向 数据 库 中 添加 不 合 语义 的 
数据 。 

(2) 利用 基于 DBMS 的 完整 性 控制 机 制 来 实现 业务 规则 ,易于 定义 ,容易 理解 ,而 且 可 
以 降低 应 用 程序 的 复杂 性 ,提高 应 用 程序 的 运行 效率 。 同 时 ,基于 DBMS 的 完整 性 控制 机 
制 是 集中 管理 的 ,因此 比 应 用 程序 更 容易 实现 数据 库 的 完整 性 。 

(3) 合理 的 数据 库 完整 性 设计 ,能 够 同时 兼顾 数据 库 的 完整 性 和 系统 的 效能 。 比 如 装 
载 大 量 数据 时 ,只 要 在 装载 之 前 临时 使 基于 DBMS 的 数据 库 完整 性 约束 失效 ,此 后 再 使 其 
生效 ,就 能 保证 既 不 影响 数据 装载 的 效率 又 能 保证 数据 库 的 完整 性 。 


第 13 章 数据 及 数据 库 系统 安 | 


(4) 在 应 用 软件 的 功能 测试 中 ,完善 的 数据 库 完整 性 有 助 于 尽早 发 现 应 用 软件 的 错误 。 

1) 数据 库 的 完整 性 

关系 完整 性 是 为 保证 数据 库 中 数据 的 正确 性 和 相 容 性 ,对 关系 模型 提出 的 某 种 约束 条 
件 或 规则 。 完 整 性 通常 包括 实体 完整 性 参照 完整 性 和 用 户 定义 完整 性 (又 称 域 完整 性 ) ,其 
中 实体 完整 性 和 参照 完整 性 ,是 关系 模型 必须 满足 的 完整 性 约束 条 件 。 

(1) 实体 完整 性 。 实 体 完整 性 是 指 关 系 的 主 关键 字 不 能 取 “ 空 值 ”。 

一 个 关系 对 应 现实 世界 中 一 个 实体 集 。 现 实 世 界 中 的 实体 是 可 以 相互 区 分 、 识 别 的 ,也 
即 它们 应 具有 某 种 唯一 性 标识 。 在 关系 模式 中 ,以 主 关键 字 作为 唯一 性 标识 ,而 主 关键 字 中 
的 属性 ( 称 为 主 属性 ?不 能 取 空 值 ,否则 ,表明 关系 模式 中 存在 着 不 可 标识 的 实体 ( 因 空 值 是 
“确定 ?的 ) ,这 与 现实 世界 的 实际 情况 相 矛 盾 ,这 样 的 实体 就 不 是 一 个 完整 实体 。 按 实体 完 
整 性 规则 要 求 , 主 属性 不 得 取 空 值 ,如 主 关 键 字 是 多 个 属性 的 组 合 , 则 所 有 主 属性 均 不 得 取 
空 值 。 

(2) 参照 完整 性 。 参 照 完整 性 是 定义 建立 关系 之 间 联 系 的 主 关键 字 与 外 部 关键 字 引 用 
的 约束 条 件 。 

关系 数据 库 中 通常 都 包含 多 个 存在 相互 联系 的 关系 ,关系 与 关系 之 间 的 联系 是 通过 公 
共 属 性 来 实现 的 。 所 谓 公共 属性 , 它 是 一 个 关系 尽 ( 称 为 被 参照 关系 或 目标 关系 ) 的 主 关键 
字 , 同 时 又 是 另 一 关系 K( 称 为 参照 关系 ) 的 外 部 关键 字 。 如 果 参 照 关 系 K 中 外 部 关键 字 的 
取 值 ,要 么 与 被 参照 关系 R 中 某 元 组 主 关键 字 的 值 相同 ,要 么 取 空 值 ,那么 ,在 这 两 个 关系 
间 建 立 关联 的 主 关键 字 和 外 部 关键 字 引 用 ,符合 参照 完整 性 规则 要 求 。 如 果 参 照 关 系 开 的 
外 部 关键 字 也 是 其 主 关 键 字 ,根据 实体 完整 性 要 求 , 主 关键 字 不 得 取 空 值 ,因此 ,参照 关系 
K 外 部 关键 字 的 取 值 实际 上 只 能 取 相 应 被 参照 关系 R 中 已 经 存在 的 主 关键 字 值 。 

在 学 生 管理 数据 库 中 ,如 果 将 选课 表 作为 参照 关系 ,学 生 表 作为 被 参照 关系 ,以 “学 号 ” 
作为 两 个 关系 进行 关联 的 属性 , 则 “学 号 ”是 学 生 关 系 的 主 关键 字 , 是 选课 关系 的 外 部 关键 
字 。 选 课 关系 通过 外 部 关键 字 “ 学 号 ”参照 学 生 关 系 。 

(3) 用 户 定义 完整 性 。 实 体 完整 性 和 参照 完整 性 适用 于 任何 关系 型 数据 库 系统 , 它 主 
要 是 针对 关系 的 主 关键 字 和 外 部 关键 字 取 值 必 须 有 效 而 做 出 的 约束 。 用 户 定义 完整 性 则 是 
根据 应 用 环境 的 要 求 和 实际 的 需要 ,对 某 一 具体 应 用 所 涉及 的 数据 提出 约束 性 条 件 。 这 一 
约束 机 制 一 般 不 应 由 应 用 程序 提供 ,而 应 由 关系 模型 提供 定义 并 检验 ,用 户 定义 完整 性 主要 
包括 字段 有 效 性 约束 和 记录 有 效 性 。 

2) 数据 库 的 完整 性 受到 破坏 的 主要 原因 

数据 库 的 完整 性 受到 破坏 的 主要 原因 如 下 。 

(1) 应 用 程序 不 完善 。 有 些 应 用 程序 设计 考虑 不 周到 ,或 处 在 调试 .试用 阶段 的 程序 ， 
可 能 造成 非法 数据 进入 数据 库 , 破 坏 数 据 库 的 完整 一 致 性 。 

(2) 人 为 对 数据 库 的 操作 。 此 类 操作 可 能 是 有 数据 库 管理 员 (DBA) 不 经 过 应 用 程序 ， 
而 是 通过 一 些 数 据 库 操作 平台 ,直接 对 数据 库 进 行 删除 、 修 改 和 插入 等 操作 ,使 得 一 些 不 符 
合 默 认 规 则 的 数据 进入 数据 库 , 破 坏 数 据 的 完整 性 。 

(3) 多 个 事务 并 发 执行 。 事 务 是 数据 库 管理 中 最 小 的 逻辑 工作 单元 。 单 个 事务 单独 执 
行 可 能 是 正确 的 ,但 多 个 事务 同时 并 发 交错 地 执行 ,造成 相互 干扰 ,使 客户 得 不 到 正确 的 结 
果 。 尤 其 是 在 多 用 户 环 境 中 ,数据 库 必 须 避 免 同 时 进行 的 查询 和 更 新 发 生 冲 突 造成 的 数据 
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库 完整 性 的 破坏 。 

3) 解决 数据 库 完 整 性 问题 的 几 种 实用 方法 

数据 库 完整 性 约束 是 用 于 维护 数据 库 完 整 性 的 一 种 机 制 ,这 种 约束 是 一 系列 预先 定义 
好 的 数据 完整 性 规划 和 业务 规则 ,这 些 数 据 规则 存放 于 数据 库 中 ,防止 用 户 输 入 错误 的 数 
据 , 以 保证 数据 库 中 所 有 的 数据 是 合法 的 、 完 整 的 。 

(1) 数据 库 的 完整 性 约束 有 以 下 几 种 : 非 空 约束 ; 默认 值 约束 ; 唯一 性 约束 ; 主键 约 
东 ; 外 键 约束 ; 规则 约束 。 这 种 约束 是 在 数据 库 表 上 定义 的 , 它 与 应 用 程序 中 维护 数据 库 
完整 性 不 同 , 它 不 用 额外 地 书写 程序 ,代价 小 而 且 性 能 高 。 

(2) 使 用 数据 库存 储 过 程 。 通 常数 据 库 的 存储 过 程 是 SQL 语句 和 流 控制 语句 写 的 过 
程 ,它们 是 一 组 经 编译 和 优化 后 存储 在 数据 库 服 务 器 的 SQL 语句 ,使 用 时 用 户 只 要 调用 即 
可 。 这 种 已 经 编译 好 的 过 程 可 以 极 大 地 改善 SQL 性 能 ,而且 执行 速度 快 ,大 大 减少 网 络 IO 
流量 ,提高 应 用 程序 性 能 。 尤 其 是 在 多 网 络 用 户 C/S(CClient/yServer) 结 构 和 B/S(Browser/ 
Server) 结 构 体 系 下 ,需要 对 多 表 进 行 插入 删除 .更 新 等 操作 时 ,使 用 存储 过 程 可 以 有 效 防 
止 多 客户 同时 操作 数据 库 时 , 带 来 的 “ 死 锁 ”和 破坏 数据 完整 一 致 性 的 问题 。 

(3) 大 业务 量 峰值 时 并 发 事务 的 处 理 。 在 C/S(Client/Server) 结 构 和 B/S(Browser/ 
Server) 结 构 体 系 下 ,对 数据 库 集 中 数据 的 管理 和 共享 ,客户 端 是 通过 事务 这 种 机 制 来 操作 
数据 库 ,事务 将 多 个 SQL 数据 当做 一 个 工作 单元 来 处 理 , 这 组 SQL 语句 执行 后 ,要 么 全 部 
成 功 , 要 么 全 部 失败 。 通 过 对 事务 的 控制 ,数据库 可 以 控制 并 发 执行 的 查询 和 更 新 操作 ,也 
可 以 在 系统 出 现 故 障 后 ,数据库 自动 地 从 事务 日 志 中 进行 恢复 。 

在 多 用 户 环 境 中 ,可 能 存在 多 个 事务 同时 并 发 地 存 取 相同 的 数据 , 若 不 进行 处 理 和 控 
制 ,特别 在 大 业务 量 集中 发 生 时 就 会 造成 从 数据 库 中 读 出 的 数据 与 实际 数据 不 一 致 的 现象 ， 
甚至 可 能 造成 数据 库 的 死 锁 。 控 制 这 种 现象 的 最 好 方法 是 利用 数据 库 的 锁 机 制 。 

锁 机 制 就 是 事务 请 求 数据 库 管 理 系统 对 其 操作 的 数据 对 象 加 锁 (Lock) ,其 他 事务 必须 
等 到 此 事务 结束 并 释放 锁 (Unlock) 后 ,才能 对 该 数据 库 对 象 进行 操作 。 通 过 这 一 机 制 , 可 
以 避免 多 个 事务 并 发 执行 存 取 同 一 数据 时 出 现 的 数据 不 一 致 问题 。 

2. 存 取 控 制 

访问 控制 的 目的 是 确保 用 户 对 数据 库 只 能 进行 经 过 授权 的 有 关 操 作 。 在 存 取 控 制 机 制 
中 ,一般 把 被 访问 的 资源 称 做 客体 ,把 以 用 户 名 义 进 行 资 源 访问 的 进程 .事务 等 实体 称 做 
主体 。 

传统 的 存 取 控制 机 制 有 两 种 : 自主 存 取 控制 (Discretionary Access Control,DAC) 和 强 
制 存 取 控 制 (Mandatory Access Control,MAC)。 在 DAC 机 制 中 ,用 户 对 不 同 的 数据 对 象 
有 不 同 的 存 取 权限 ,而 且 用 户 还 可 以 将 其 拥有 的 存 取 权限 转 授 给 其 他 用 户 。DAC 访问 控制 
完全 基于 访问 者 和 对 象 的 身份 。MAC 机 制 对 于 不 同类 型 的 信息 采取 不 同 层次 的 安全 策 
略 ,对 不 同类 型 的 数据 进行 不 同 的 访问 授权 。 在 MAC 机 制 中 , 存 取 权限 不 可 以 转 授 ,所 有 
用 户 必须 遵守 由 数据 库 管 理 员 建 立 的 安全 规则 ,其 中 最 基本 的 规则 为 “向 下 读 取 ,向 上 写 
入”。 显然, 与 DAC 相 比 ,MAC 机 制 比较 严格 。 近 年 来 ,基于 角色 的 存 取 控制 (Role-based 
Access Control, RBAC) 得 到 了 广泛 的 关注 。RBAC 在 主体 和 权限 之 间 增 加 了 一 个 中 间 桥 
梁 一 一 角色 。 权 限 被 授予 角色 ,而 管理 员 通 过 指定 用 户 为 特定 的 角色 来 为 用 户 授 权 。 这 大 
大 简化 了 授权 管理 ,具有 强大 的 可 操作 性 和 可 管理 性 。 角 色 可 以 根据 组 织 中 不 同 的 工作 创 
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建 ,然后 根据 用 户 的 责任 和 资格 分 配角 色 。 用 户 可 以 轻松 地 进行 角色 转换 ,而 随 着 新 应 用 和 
新 系统 的 增加 ,角色 可 以 分 配 更 多 的 权限 ,也 可 以 根据 需要 撤销 相应 的 权限 。RBAC 核心 模 
型 包含 5 个 基本 的 静态 集合 : 用 户 集 (users)、 角 色 集 (roles)、 对 象 集 (objects)、 操 作 集 
(operators) 和 特权 集 (perms) ,以 及 一 个 运行 过 程 中 动态 维护 的 集合 一 一 会 话 集 (sessions)。 用 
户 集 包括 系统 中 可 以 执行 操作 的 用 户 , 是 主动 的 实体 对 象 集 ,是 系统 中 被 动 的 实体 ,包含 系 
统 需 要 保护 的 信息 ; 操作 集 是 定义 在 对 象 上 的 一 组 操作 ; 对 象 上 的 一 组 操作 构成 了 一 个 特 
权 ; 角色 则 是 RBAC 模型 的 核心 ,通过 用 户 分配 (UA) 和 特权 分 配 (PA) 使 用 户 与 特权 关联 
起 来 。RBAC 属于 策略 中 立 型 的 存 取 控制 模型 , 既 可 以 实现 自主 存 取 控制 策略 ,又 可 以 实现 
强制 存 取 控制 策略 ,可 以 有 效 缓解 传统 安全 管理 处 理 瓶 颈 问题 ,被 认为 是 一 种 普遍 适用 的 访 
问 控制 模型 ,尤其 适用 于 大 型 组 织 的 有 效 的 访问 控制 机 制 。2002 年 ,Park J. 和 Sundhu R. 
首次 提出 了 使 用 控制 (Usage Control, UCON) 的 概念 。UCON 对 传统 的 存 取 控制 进行 了 扩 
展 ,定义 了 授权 (Authorization) ,职责 (Obligation) 和 条 件 (Condition) 三 个 决定 性 因素 , 同 
时 提出 了 存 取 控制 的 连续 性 (Continuity) 和 易 变 性 (Mutability) 两 个 重要 属性 。UCON 集 
合 了 传统 的 访问 控制 ,可 信 管理 以 及 数字 权力 管理 ,用 系统 的 方式 提供 了 一 个 保护 数字 资源 
的 统一 标准 的 框架 ,为 下 一 代 存 取 控 制 机 制 提供 了 新 思路 。 

3. 视图 机 制 

视图 是 一 个 虚拟 表 , 其 内 容 由 查询 定义 。 同 真实 的 表 一 样 ,视图 包含 一 系列 带 有 名 称 的 
列 和 行 数据 。 但 是 ,视图 并 不 在 数据 库 中 以 存储 的 数据 值 集 形 式 存在 。 行 和 列 数据 来 自由 
定义 视图 的 查询 所 引用 的 表 , 并 且 在 引用 视图 时 动态 生成 。 

通过 视图 用 户 只 能 查询 和 修改 他 们 所 能 见 到 的 数据 。 数 据 库 中 的 其 他 数据 则 既 看 不 见 
也 取 不 到 。 数 据 库 授权 命令 可 以 使 每 个 用 户 对 数据 库 的 检索 限制 到 特定 的 数据 库 对 象 上 ， 
但 不 能 授权 到 数据 库 特 定 的 行 和 特定 的 列 上 。 通 过 视图 ,用 户 可 以 被 限制 在 数据 的 不 同 子 
集 上 : 

(1) 使 用 权限 可 被 限制 在 基 表 的 行 的 子 集 上 。 

(2) 使 用 权限 可 被 限制 在 基 表 的 列 的 子 集 上 。 

(3) 使 用 权限 可 被 限制 在 基 表 的 行 和 列 的 子 集 上 。 

(4) 使 用 权限 可 被 限制 在 多 个 基 表 的 连接 所 限定 的 行 上 。 

(5) 使 用 权限 可 被 限制 在 基 表 中 的 数据 的 统计 汇总 上 。 

(6) 使 用 权限 可 被 限制 在 男 一 视图 的 一 个 子 集 上 ,或 是 一 些 视图 和 基 表 合并 后 的 子 集 上 。 

视图 是 关系 数据 库 系 统 提 供给 用 户 以 多 种 角度 观察 数据 库 中 数据 的 重要 机 制 。 视 图 是 
从 一 个 或 几 个 基本 表 ( 或 视图 ) 导 出 的 表 , 它 与 基本 表 不 同 .是 一 个 虚 表 。 数 据 库 中 只 存放 视 
图 的 定义 ,而 不 存放 视图 对 应 的 数据 ,这 些 数据 依然 存放 在 原来 的 基本 表 中 。 所 以 ,基本 表 
中 的 数据 发 生变 化 ,从 视图 中 查询 出 的 数据 也 就 随 之 改变 了 。 从 这 个 意义 上 讲 , 视 图 就 像 一 
个 窗口 , 透 过 它 可 以 看 到 数据 库 中 自己 感 兴趣 的 数据 及 其 变化 。 

通过 定义 视图 ,可 以 使 用 户 只 看 到 指定 表 中 的 某 些 行 、 某 些 列 、 也 可 以 将 多 个 表 中 的 列 
组 合 起 来 ,使 得 这 些 列 看 起 来 就 像 一 个 简单 的 数据 库 表 , 另 外 ,也 可 以 通过 定义 视图 ,只 提供 
用 户 所 需 的 数据 ,而 不 是 所 有 的 信息 。 

总 之 ,有 了 视图 机 制 ,就 可 以 在 设计 数据 库 应 用 系统 时 ,对 不 同 的 用 户 定义 不 同 的 视图 ， 
使 机 密 数 据 不 出 现在 不 应 看 到 这 些 数 据 的 用 户 视 图 上 ,这 样 视图 机 制 就 自动 提供 了 对 机 密 
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数据 的 安全 保护 功能 。 下 面 我 们 来 看 看 视图 机 制 在 数据 库 应 用 系统 中 安全 保护 的 具体 
实现 。 

4. 数据 库 加 密 

由 于 数据 库 在 操作 系统 下 都 是 以 文件 形式 进行 管理 的 ,入 侵 者 可 以 直接 利用 操作 系统 
的 漏洞 窃取 数据 库 文件 ,或 者 算 改 数据 库 文件 内 容 。 另 一 方面 ,数据 库 管理 员 (DBA) 可 以 
任意 访问 所 有 数据 ,往往 超出 了 其 职责 范围 ,同样 造成 安全 隐患 。 因 此 ,数据 库 的 保密 问题 
不 仅 包括 在 传输 过 程 中 采用 加 密 保护 和 控制 非法 访问 ,还 包括 对 存储 的 敏感 数据 进行 加 密 
保护 ,使 得 即使 数据 不 幸 泄露 或 者 丢失 ,也 难以 造成 泄密 。 同 时 ,数据 库 加 密 可 以 由 用 户 用 
自己 的 密 钥 加 密 自 己 的 敏感 信息 ,而 不 需要 了 解数 据 内 容 的 数据 库 管 理 员 无 法 进行 正常 解 
密 ,从 而 可 以 实现 个 性 化 的 用 户 隐 私 保护 。 对 数据 库 加 密 必然 会 带 来 数据 存储 与 索引 、 密 钥 
分 配 和 管理 等 一 系列 问题 。 同 时 ,加 密 也 会 显著 地 降低 数据 库 的 访问 与 运行 效率 。 保 密 性 
与 可 用 性 之 间 不 可 避免 地 存在 冲突 ,需要 妥善 解决 两 者 之 间 的 矛盾 。 数 据 库 中 存储 密 文 数 
据 后 ,如 何 进 行 高 效 查询 成 为 一 个 重要 的 问题 。 查 询 语句 一 般 不 可 以 直接 运用 到 密 文 数据 
库 的 查询 过 程 中 ,一 般 的 方法 是 首先 对 加 密 数据 进行 解密 ,然后 对 解密 数据 进行 查询 ,但 由 
于 要 对 整个 数据 库 或 数据 表 进 行 解密 操作 ,开销 巨大 。 在 实际 操作 中 需要 通过 有 效 的 查询 
策略 来 直接 执行 密 文 查询 或 进行 较 小 粒度 的 快速 解密 。 一 般 来 说 ,一 个 好 的 数据 库 加 密 系 
统 应 该 满足 以 下 几 方 面 的 要 求 ， 

(1) 足够 的 加 密 强 度 ,保证 长 时 间 、 大 量 数据 不 被 破译 。 

(2) 加 密 后 的 数据 库存 储量 没有 明显 的 增加 。 

(3) 加 解密 速度 足够 快 ,影响 数据 操作 响应 时 间 尽 量 短 。 

(4) 加 解密 对 数据 库 的 合法 用 户 操 作 ( 如 数据 的 增 、 删 、 改 等 ) 是 透明 的 。 

(5) 灵活 的 密 钥 管理 机 制 ,加 解密 密 钥 存储 安全 ,使 用 方便 .可靠 。 

1) 数据 库 加 密 的 实现 机 制 

数据 库 加 密 的 实现 机 制 主要 研究 执行 加 密 部 件 在 数据 库 系统 中 所 处 的 层次 和 位 置 , 通 
过 对 比 各 种 体系 结构 的 运行 效率 、 可 扩展 性 和 安全 性 ,以 求 得 最 佳 的 系统 结构 。 按 照 加 密 部 
件 与 数据 库 系 统 的 不 同 关 系 ,数据 库 加 密 机 制 可 以 从 大 的 方面 分 为 库 内 加 密 和 库 外 加 密 。 

(1) 库 内 加 密 。 库 内 加 密 在 DBMS 内 核 层 实现 加 密 , 加 /解密 过 程 对 用 户 与 应 用 透明 ， 
数据 在 物理 存 取 之 前 完成 加 /解密 工作 。 库 内 加 密 方式 的 优点 是 加 密 功 能 强 , 并 且 加 密 功能 
集成 为 DBMS 的 功能 ,可 以 实现 加 密 功 能 与 DBMS 之 间 的 无 颖 看 合 。 对 于 数据 库 应 用 来 
说 , 库 内 加 密 方式 是 完全 透明 的 。 库 内 加 密 的 主要 缺点 是 : 首先 ,对 系统 性 能 影响 比较 大 。 
DBMS 除了 完成 正常 的 功能 外 ,还 要 进行 加 /解密 运算 ,加 重 了 数据 库 服 务 器 的 负载 。 其 
次 , 密 钥 管理 风险 大 。 加 密 密 钥 与 库 数据 一 同 保存 在 服务 器 中 ,其 安全 性 依赖 于 DBMS 的 
访问 控制 机 制 。 最 后 ,加 密 功 能 依赖 于 数据 库 厂商 的 支持 。DBMS 一 般 只 提供 有 限 的 加 密 
算法 与 强度 可 供 选 择 , 自 主 性 受 限 。 

(2) 库 外 加 密 。 在 库 外 加 密 方 式 中 ,加 /解密 过 程 发 生 在 DBMS 之 外 ,DBMS 所 管理 的 
是 密 文 。 加 /解密 过 程 大 多 在 客户 端 实现 ,也 有 的 由 专门 的 加 密 服务 器 或 硬件 完成 。 与 库 内 
加 密 方式 相 比 , 库 外 加 密 有 明显 的 优点 : 首先 ,由 于 加 /解密 过 程 在 客户 端 或 专门 的 加 密 服 
务 器 实现 ,减少 了 数据 库 服务 器 与 DBMS 的 运行 负担 ; 其 次 .可 以 将 加 密 密 钥 与 所 加 密 的 
数据 分 开 保存 ,提高 了 安全 性 ; 最 后 ,由 客户 端 与 服务 器 的 配合 ,可 以 实现 端 到 端的 网 上 密 
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文 传输 。 库 外 加 密 的 主要 缺点 是 加 密 后 的 数据 库 功能 受到 一 些 限制 ,例如 加 密 后 的 数据 无 
法 正常 索引 ,数据 加 密 后 也 会 破坏 原 有 的 关系 数据 的 完整 性 与 一 致 性 ,这 些 都 会 给 数据 库 应 
用 带 来 影响 。 在 目前 新 兴 的 外 包 数 据 库 服务 模式 中 ,数据 库 服务 器 由 非 可 信 的 第 三 方 提供 ， 
仅 用 来 运行 标准 的 DBMS ,要 求 加 密 解 密 都 在 客户 端 完成 。 因 此 , 库 外 加 密 方式 受到 越 来 越 
多 研究 者 的 关注 。 

2) 数据 库 加 密 的 粒度 

一 般 来 说 ,数据 库 加 密 的 粒度 可 以 有 四 种 : 表 、 属 性 、 记 录 和 数据 元 素 。 各 种 加 密 粒度 
的 特点 不 同 。 总 的 来 说 ,加 密 粒 度 越 小 则 灵活 性 越 好 , 且 安 全 性 越 高 ,但 实现 技术 也 更 为 复 
杂 , 对 系统 的 运行 效率 影响 也 越 大 。 

(1) 表 加 密 。 表 级 加 密 的 对 象 是 整个 表 。 这 种 加 密 方法 类 似 于 操作 系统 中 文件 加 密 的 
方法 ,每 个 表 与 不 同 的 表 密 钥 运算 ,形成 密 文 后 存储 。 这 种 方式 最 为 简单 ,但 因为 对 表 中 任 
何 记录 或 数据 项 的 访问 都 需要 将 其 所 在 表 的 所 有 数据 快速 解密 ,执行 效率 很 低 ,浪费 了 大 量 
的 系统 资源 。 在 目前 的 实际 应 用 中 , 表 加 密 方法 基本 已 被 放弃 。 

(2) 属性 加 密 。 属 性 加 密 又 称 域 加 密 或 字段 加 密 , 是 以 表 中 的 列 为 单位 进行 加 密 。 一 
般 而 言 属性 的 个 数 少 于 记录 的 条 数 , 需 要 的 密 钥 数 相对 较 少 。 如 果 只 有 少数 属性 需要 加 密 ， 
属性 加 密 是 可 选 的 方法 。 

(3) 记录 加 密 。 记 录 加 密 是 把 表 中 的 一 条 记录 作为 加 密 的 单位 。 当 数据 库 中 需要 加 密 
的 记录 数 比较 少时 ,采用 记录 加 密 是 比较 好 的 。 

(4) 数据 元 素 加 密 。 数 据 元 素 加密 是 以 记录 中 每 个 字段 的 值 为 单位 进行 加 密 。 数 据 元 
素 是 数据 库 中 最 小 的 加 密 粒 度 ,采用 这 种 加 密 粒 度 ,系统 的 安全 性 与 灵活 性 最 高 ,同时 实现 
技术 也 最 为 复杂 。 不 同 的 数据 项 使 用 不 同 的 密 钥 ,相同 的 明文 形成 不 同 的 密 文 , 抗 攻击 能 力 
得 到 提高 。 不 利 的 方面 是 ,该 方法 需要 引入 大 量 的 密 钥 ,一般 要 周密 设计 自动 生成 密 钥 的 算 
法 , 密 钥 管理 的 复杂 度 大 为 增加 ,同时 系统 效率 也 受到 影响 。 在 目前 条 件 下 ,为 了 得 到 较 高 
的 安全 性 和 灵活 性 ,采用 最 多 的 加 密 粒 度 是 数据 元 素 。 为 了 使 数据 库 中 的 数据 能 够 充分 而 
灵活 地 共享 ,加密 后 ,还 应 当 人 允许 用 户 以 不 同 的 粒度 进行 访问 。 

3) 加 密 算法 

加 密 算法 是 数据 加 密 的 核心 ,一 个 好 的 加 密 算 法 产生 的 密 文 应 该 频率 平衡 ,随机 无 重 码 
规律 ,周期 很 长 而 又 不 可 能 产生 重复 现象 。 窃 密 者 很 难 通过 对 密 文 频 率 . 重 码 等 特征 的 分 析 
获得 成 功 。 同 时 ,算法 必须 适应 数据 库 系统 的 特性 ,加 解密 尤其 是 解密 响应 迅速 。 常 用 的 加 
密 算法 包括 对 称 密 钥 算法 和 非 对 称 密 钥 算法 。 

对 称 密 钥 算法 的 特点 是 解密 密 钥 和 加 密 密 钥 相 同 ,或 可 由 加 密 密 钥 推出 。 对 称 密 钥 算 
法 一 般 又 可 分 为 两 类 : 序列 算法 和 分 组 算法 。 序 列 算法 一 次 只 对 明文 中 的 单个 位 或 字 节 运 
算 ,分 组 算法 是 对 明文 分 组 后 以 组 为 单位 进行 运算 。 常 用 的 分 组 密 钥 算法 有 DES 等 。 非 对 
称 密 钥 算 法 也 称 公 开 密 钥 算法 ,其 特点 是 解密 密 钥 不 同 于 加 密 密 钥 ,并 且 从 解密 密 钥 推出 加 
密 密 钥 在 计算 上 是 不 可 行 的 。 其 中 加 密 密 钥 公开 ,解密 密 钥 则 是 由 用 户 秘密 保管 的 私有 密 
钥 。 常 用 的 公开 密 钥 算法 有 RSA 等 。 目 前 还 没有 公认 的 专门 针对 数据 库 加 密 的 加 密 算法 ， 
因此 一 般 根据 数据 库 特 点 选择 现 有 的 加 密 算 法 来 进行 数据 库 加 密 。 一 方面 ,对 称 密 钥 算法 
的 运算 速度 比 非 对 称 密 钥 算法 快 很 多 ,两 者 相差 2 一 3 个 数量 级 ; 另 一 方面 ,在 公开 密 钥 算 
法 中 ,每 个 用 户 有 自己 的 密 钥 对 。 而 作为 数据 库 加 密 的 密 钥 如 果 因 人 而 异 ,将 产生 异常 庞大 
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的 数据 存储 量 。 因 此 ,在 数据 库 加 密 中 一 般 采 取 对 称 密 钥 的 分 组 加 密 算 法 。 

4) 密 钥 管理 

对 数据 库 进 行 加 密 , 一 般 对 不 同 的 加 密 单 元 采用 不 同 的 密 钥 。 以 加 密 粒 度 为 数据 元 素 
为 例 , 如 果 不 同 数据 元 素 采 用 同一 个 密 钥 ,由 于 同一 属性 中 数据 项 的 取 值 在 一 定 范围 之 内 ， 
且 往 往 呈 现 一 定 的 概率 分 布 ,攻击 者 可 以 不 用 求 原文 ,而 直接 通过 统计 方法 ,就 可 以 得 到 有 
关 的 原文 信息 ,这 就 是 所 谓 统计 攻击 。 大 量 的 密 钥 自然 带 来 密 钥 管理 的 问题 。 根 据 加 密 粒 
度 的 不 同 , 系 统 所 产生 的 密 钥 数量 也 不 同 。 越 是 细小 的 加 密 粒 度 , 所 产生 的 密 钥 数量 越 多 ， 
密 钥 管理 也 就 越 复杂 。 和 良好 的 密 钥 管理 机 制 既 可 以 保证 数据 库 信息 的 安全 性 ,又 可 以 进行 
快速 的 密 钥 交换 ,以 便 进行 数据 解密 。 

对 数据 库 密 钥 的 管理 一 般 有 集中 密 钥 管理 和 多 级 密 钥 管理 两 种 体制 。 集 中 密 钥 管理 方 
法 是 设立 密 钥 管理 中 心 。 在 建立 数据 库 时 , 密 钥 管理 中 心 负责 产生 密 钥 并 对 数据 加 密 ,形成 
一 张 密 钥 表 。 当 用 户 访问 数据 库 时 , 密 钥 管理 机 构 核对 用 户 识别 符 和 用 户 密 钥 , 通 过 审核 
后 ,由 密 钥 管理 机 构 找到 或 计算 出 相应 的 数据 密 钥 。 这 种 密 钥 管理 方式 ,用 户 使 用 方便 , 管 
理 也 方便 ,但 由 于 这 些 密 钥 一 般 都 是 由 数据 库 管 理 人 员 控制 的 ,权限 过 于 集中 。 目 前 研究 和 
应 用 比较 多 的 是 多 级 密 钥 管理 体制 。 以 加 密 粒 度 为 数据 元 素 的 三 级 密 钥 管理 体制 为 例 , 整 
个 系统 的 密 钥 由 一 个 主 密 钥 .每 个 表 上 的 表 密 钥 以 及 各 个 数据 元 素 密 钥 组 成 。 表 密 钥 被 主 
密 钥 加 密 后 以 密 文 形式 保存 在 数据 字典 中 ,数据 元 素 密 钥 由 主 密 钥 及 数据 元 素 所 在 行 、 列 通 
过 某 种 函数 自动 生成 ,一 般 不 需要 保存 。 在 多 级 密 钥 体制 中 , 主 密 钥 是 加 密 子 系统 的 关键 ， 
系统 的 安全 性 在 很 大 程度 上 依赖 于 主 密 钥 的 安全 性 。 

5) 数据 库 加 密 的 局 限 性 

数据 库 加 密 技术 在 保证 安全 性 的 同时 ,也 给 数据 库 系统 的 可 用 性 带 来 一 些 影 响 。 

(1) 系统 运行 效率 受到 影响 。 数 据 库 加 密 技术 带 来 的 主要 问题 之 一 是 影响 效率 。 为 了 
减 小 这 种 影响 ,一 般 对 加 密 的 范围 做 一 些 约束 ,如 可 以 对 索引 字段 .关系 运算 的 比较 字段 等 
不 进行 加 密 。 

(2) 难以 实现 对 数据 完整 性 约束 的 定义 。 数 据 库 一 般 都 定义 了 关系 数据 之 间 的 完整 性 
约束 、 如 主 外 键 约束 , 值 域 的 定义 等 。 数 据 一 旦 加 密 ,DBMS 将 难以 实现 这 些 约束 。 

(3) 对 数据 的 SQL 语言 及 SQL 函数 操作 受到 制约 。SQL 中 的 Group by、Order by、 
Having 子 句 分 别 完成 分 组 .排序 等 操作 。 这 些 子 句 的 操作 对 象 如 果 是 加 密 数据 ,那么 解密 
后 的 明文 数据 将 失去 原 语句 的 分 组 、 排 序 作用 。 另 外 ,DBMS 扩展 的 SQL 内 部 函数 一 般 也 
不 能 直接 作用 于 密 文 数据 。 

(4) 密 文 数据 容易 成 为 攻击 目标 。 加 密 技 术 把 有 意义 的 明文 转换 成 看 上 去 没有 实际 意 
义 的 密 文 信息 ,但 密 文 的 随机 性 同时 也 暴露 了 消息 的 重要 性 ,容易 引起 攻击 者 的 注意 和 破 
坏 , 这 造成 了 一 种 新 的 不 安全 性 。 加 密 技术 往往 需要 和 其 他 非 加 密 安全 机 制 相 结合 ,以 提高 
数据 库 系统 的 整体 安全 性 。 数 据 库 加 密 作为 一 种 对 敏感 数据 进行 安全 保护 的 有 效 手段 ,将 
得 到 越 来 越 多 的 重视 。 总 体 来 说 ,目前 数据 库 加 密 技 术 还 面临 许多 挑战 ,其 中 ,解决 保密 性 
与 可 用 性 之 间 的 矛盾 是 关键 。 
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13.2.5 数据 库 的 备份 与 恢复 

1. 事务 的 基本 概念 

1) 事务 的 概念 

数据 库 事 务 (Database Transaction) ,是 指 作 为 单个 逻辑 工作 单元 执行 的 一 系列 操作 。 
事务 处 理 可 以 确保 除非 事务 性 单元 内 的 所 有 操作 都 成 功 完成 ,否则 不 会 永久 更 新 面向 数据 
的 资源 。 通 过 将 一 组 相关 操作 组 合 为 一 个 要 么 全 部 成 功 要 么 全 部 失败 的 单元 ,可 以 简化 错 
误 恢复 并 使 应 用 程序 更 加 可 靠 。 一 个 人 逻辑 工作 单元 要 成 为 事务 ,必须 满足 所 谓 的 ACID( 原 
子 性 、 一 致 性 隔离 性 和 持久 性 ) 属 性 。 

2) 事务 的 性 质 

事务 具有 以 下 性 质 。 

@ 原子 性 (atomic)。 事 务必 须 是 原子 工作 单元 ; 对 于 其 数据 修改 ,要 么 全 都 执行 ,要 么 
全 都 不 执行 。 通 常 ,与 某 个 事务 关联 的 操作 具有 共同 的 目标 ,并 且 是 相互 依赖 的 。 如 果 系 统 
只 执行 这 些 操作 的 一 个 子 集 , 则 可 能 会 破坏 事务 的 总 体 目标 。 原 子 性 消除 了 系统 处 理 操作 
子 集 的 可 能 性 。 

@ 一 致 性 (consistent)。 事 务 在 完成 时 ,必须 使 所 有 的 数据 都 保持 一 致 状态 。 在 相关 
数据 库 中 ,所 有 规则 都 必须 应 用 于 事务 的 修改 ,以 保持 所 有 数据 的 完整 性 。 事 务 结束 时 ,所 
有 的 内 部 数据 结构 (如 B 树 索引 或 双向 链表 ) 都 必须 是 正确 的 。 某 些 维护 一 致 性 的 责任 由 
应 用 程序 开发 人 员 承 担 , 他 们 必须 确保 应 用 程序 已 强制 所 有 已 知 的 完整 性 约束 。 例 如 , 当 开 
发 用 于 转账 的 应 用 程序 时 ,应 避免 在 转账 过 程 中 任意 移动 小 数 点 。 

@ 隔离 性 (insulation)。 由 并 发 事务 所 作 的 修改 必须 与 任何 其 他 并 发 事务 所 作 的 修改 
隔离 。 事 务 查看 数据 时 数据 所 处 的 状态 ,要 么 是 另 一 并 发 事务 修改 它 之 前 的 状态 ,要么 是 另 
一 事务 修改 它 之 后 的 状态 ,事务 不 会 查看 中 间 状 态 的 数据 。 这 称 为 可 串 行 性 ,因为 它 能 够 重 
新 装载 起 始 数据 ,并 且 重 播 一 系列 事务 ,以 使 数据 结束 时 的 状态 与 原始 事务 执行 的 状态 相 
同 。 当 事务 可 序列 化 时 将 获得 最 高 的 隔离 级 别 , 在 此 级 别 上 ,从 一 组 可 并 行 执行 的 事务 获得 
的 结果 与 通过 连续 运行 每 个 事务 所 获得 的 结果 相同 。 由 于 高 度 隔离 会 限制 可 并 行 执行 的 事 
务 数 ,所 以 一 些 应 用 程序 降低 隔离 级 别 以 换取 更 大 的 吞吐 量 。 

@ 持久 性 Cduration) 。 事 务 完成 之 后 , 它 对 于 系统 的 影响 是 永久 性 的 。 该 修改 即使 出 
现 致命 的 系统 故障 也 将 一 直 保持 。 

2. 数据 库 的 故障 种 类 

数据 库 运 行 时 可 能 发 生 各 种 故障 ,故障 发 生 时 可 能 造成 数据 损坏 ,而 DBMS 恢复 管理 
子 系统 可 采取 一 系列 措施 ,努力 保证 事务 的 原子 性 与 持久 性 ,确保 数据 不 被 损坏 。 

数据 库 中 可 能 造成 数据 损坏 的 故障 有 以 下 几 种 。 

(1) 事务 故障 。 事 务 故 障 又 可 以 区 分 为 以 下 两 种 : 非 预 期 的 事务 故障 与 可 预期 的 事务 
故障 , 即 应 用 程序 可 以 发 现 的 事务 故障 。 对 于 后 一 种 可 以 让 事务 回 滚 (Rollback) ,以 撤销 错 
误 的 事务 故障 ,恢复 数据 库 到 正确 的 状态 。 

(2) 系统 故障 。 由 于 软 硬 件 平 台 出 现 问题 可 能 引起 内 存 中 数据 的 丢失 ,但 尚未 造成 磁 
盘 上 数据 破坏 ,这 种 情况 称 为 故障 终止 假设 (fail-stop assumption) 。 此 时 运行 的 事务 全 部 
非 正 常 终止 ,从 而 造成 数据 库 系 统 处 于 非 正 常 状态 。 恢 复 子 系统 必须 在 系统 重新 启动 上 述 
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所 有 事务 ,把 数据 库 恢 复 到 正常 状态 。 

(3) 介质 故障 。 介 质 故障 通常 为 磁盘 故障 ,这 种 故障 一 般 会 造成 磁盘 上 数据 的 破坏 , 恢 
复 的 方法 只 能 使 用 备份 。 

DBMS 应 当 能 够 将 数据 库 从 被 破坏 ,不 正确 的 状态 恢复 到 时 间 上 最 近 的 一 个 正确 状态 。 

(4) 计算 机 病毒 。 计 算 机 病毒 是 具有 破坏 性 、 可 以 自我 复制 的 计算 机 程序 。 计 算 机 病 
毒 已 成 为 计算 机 系统 的 主要 威胁 ,自然 也 是 数据 库 系统 的 主要 威胁 ,因此 数据 库 一 旦 被 破坏 
仍 要 用 恢复 技术 把 数据 库 加 以 恢复 。 

总 结 各 类 故障 ,对 数据 库 的 影响 有 两 种 可 能 性 : 一 是 数据 库 本 身 被 破坏 ; 二 是 数据 库 
没有 被 破坏 ,但 数据 可 能 不 正确 ,这 是 因为 事务 的 运行 被 非 正常 终止 造成 的 。 

3. 数据 库 的 恢复 策略 

数据 库 恢复 的 基本 原理 十 分 简单 ,可 以 用 一 个 词 来 概括 : 元 余 。 这 就 是 说 ,数据 库 中 任 
何 一 部 分 被 破坏 的 或 不 正确 的 数据 可 以 根据 存储 在 系统 别处 的 元 余数 据 来 重建 。 尽 管 恢 复 
的 基本 原理 很 简单 但 实现 技术 的 细节 却 相当 复杂 ,下 面 将 略 去 许多 细节 ,介绍 数据 库 恢 复 的 
实现 技术 。 

数据 库 系统 的 恢复 策略 根据 故障 的 不 同 分 为 事务 故障 的 恢复 、 系 统 故 障 的 恢复 和 介质 
故障 的 恢复 。 

1) 事务 故障 的 恢复 

事务 故障 是 指 事务 在 运行 至 正常 终止 点 前 中 止 ,这 时 恢复 子 系统 应 利用 日 志文 件 撤销 
(UNDO) 此 事务 对 数据 库 进行 的 修改 。 事 务 故 障 的 恢复 有 系统 自动 完成 的 ,对 用 户 是 透明 
的 。 系 统 恢复 的 步骤 是 : 

(1) 反 向 扫描 文件 日 志 ( 即 从 最 后 向 前 扫描 日 志文 件 ) ,查找 该 事务 的 更 新 操作 。 

(2) 对 该 事务 的 更 新 操作 执行 逆 操 作 , 即 将 日 志 记录 中 “更 新 前 的 值 * 写 入 数据 库 。 这 
样 ,如 果 记 录 是 插入 操作 , 则 相当 于 删除 操作 (因此 时 “更 新 前 的 值 ”为 空 ); 车 记录 中 是 删除 
操作 , 则 做 插入 操作 ; 若是 修改 操作 , 则 相当 于 用 修改 前 值 代替 修改 后 值 。 

(3) 继续 反 向 扫描 日 志文 件 , 查 找 该 事务 的 其 他 更 新 操作 ,并 做 同样 处 理 。 

(4) 如 此 继续 处 理 下 去 ,直到 读 此 事务 的 开始 标记 ,事务 故障 恢复 就 完成 了 。 

2) 系统 故障 的 恢复 

系统 故障 造成 数据 库 不 一 致 状态 的 原因 有 两 个 ,一 是 未 完成 事务 对 数据 库 的 更 新 可 能 
已 写 人 数据 库 , 二 是 已 提交 事务 对 数据 库 的 更 新 可 能 还 留 在 缓冲 区 没 来 得 及 写 入 数据 库 。 
因此 恢复 操作 就 是 要 撤销 故障 发 生 时 未 完成 的 事务 , 重 做 已 完成 的 事务 。 

系统 故障 的 恢复 是 由 系统 在 重新 启动 时 自动 完成 的 ,不 需要 用 户 干预 。 系 统 的 恢复 步 
又 是 ， 

(1) 正 向 扫描 日 志文 件 ( 即 从 头 扫描 日 志文 件 ) , 找 出 在 故障 发 生前 已 提交 的 事务 (这 些 
事务 既 有 BEGIN TRANSACTION 记录 ,也 有 COMMIT 记录 ) ,将 其 事务 标识 计 人 重 做 
(CREDO) 队 列 , 同 时 找 出 故障 发 生 时 尚未 完成 的 事务 (这 些 事务 只 有 BEGIN TRANSACTION 
记录 ,无 相应 的 COMMIT 记录 ) ,将 其 事务 标识 记 入 撤销 队列 。 

(2) 撤销 队列 中 的 各 个 事务 进行 撤销 (UNDO) 处 理 。 进 行 UNDO 处 理 的 方法 是 , 反 向 
扫描 日 志文 件 ,对 每 个 UNDO 事务 的 更 新 操作 执行 逆 操 作 , 即 将 日 志 记 录 中 “更 新 前 的 值 ” 
写 人 数据 库 。 
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(3) 重 做 队列 中 的 各 个 事务 ,进行 REDO 处 理 。 进 行 REDO 处 理 的 方法 是 : 正 向 扫描 
日 志文 件 , 对 每 个 REDO 事务 重新 执行 日 志文 件 登 记 的 操作 ,即将 日 志 记录 中 * 更 新 后 的 
值 " 写 和 数据库 。 

3) 介质 故障 的 恢复 

发 生 介质 故障 后 ,磁盘 上 的 物理 数据 和 日 志文 件 被 破坏 ,这 是 最 严重 的 一 种 故障 ,恢复 
方法 是 重 做 数据 库 , 然 后 重 做 已 完成 的 事务 。 具 体 地 说 就 是 : 

(1) 装 入 最 新 的 数据 库 后 备 副 本 ( 离 故 障 发 生 时 刻 最 近 的 转 储 副本 ), 使 数据 库 恢复 到 
最 近 一 次 转 储 时 的 一 致 性 状态 。 

对 于 动态 转 储 的 数据 库 副 本 ,还 须 同时 装 入 转 储 开始 时 刻 的 日 志文 件 副本 ,利用 恢复 系 
统 故障 的 方法 ( 即 REDO 十 UNDO) ,才能 将 数据 库 恢复 到 一 致 性 状态 。 

(2) 装 入 相应 的 日 志文 件 副 本 ( 转 储 结束 时 刻 的 日 志文 件 副 本 ), 重 做 已 完成 的 事务 。 
即 首先 扫描 日 志文 件 , 找 出 故障 发 生 时 已 提交 的 事务 的 标识 ,将 其 计 入 重 做 队列 。 然 后 正 向 
扫描 日 志文 件 ,对 重 做 队列 中 的 所 有 事务 进行 重 做 处 理 , 即 将 日 志 记 录 中 “更 新 后 的 值 ” 写 入 
数据 库 。 这 样 就 可 以 将 数据 库 恢复 到 故障 前 某 一 时 刻 的 一 致 状态 了 。 

介质 故障 的 恢复 需要 DMA 的 介入 ,但 DMA 只 需要 重 装 最 近 转 储 的 数据 库 副本 和 有 
关 的 各 日 志文 件 副本 ,然后 执行 系统 提供 的 恢复 命令 即 可 ,具体 的 恢复 操作 仍 由 DBMS 完成 。 

4. 数据 库 的 恢复 技术 


数据 恢复 涉及 两 个 关键 问题 : 建立 备份 数据 ,利用 这 些 备份 数据 实施 数据 库 恢 复 。 数 
据 恢复 最 常用 的 技术 是 建立 数据 转 储 和 利用 日 志文 件 。 

1) 数据 转 储 

数据 转 储 是 数据 库 恢复 中 采用 的 基本 技术 。 数 据 转 储 就 是 数据 库 管 理 员 (DBA) 定 期 
地 将 整个 数据 库 复制 到 其 他 存储 介质 (如 磁带 或 非 数 据 库 所 在 的 另外 磁盘 ) 上 保存 形成 备用 
文件 的 过 程 。 这 些 备 用 的 数据 文件 称 为 后 备 副 本 或 后 援 副本 。 当 数据 库 遭 到 破坏 后 可 以 将 
后 备 副本 重新 装 入 ,并 重新 执行 自转 储 以 后 的 所 有 更 新 事务 。 

数据 转 储 是 十 分 耗费 时 间 和 资源 的 ,不 能 频繁 进行 。 数 据 库 管 理 员 (DBA) 应 该 根据 数 
据 库 使 用 情况 确定 一 个 适当 的 转 储 周期 和 转 储 策略 。 数 据 转 储 有 以 下 几 类 。 

(1) 静态 转 储 和 动态 转 储 。 根 据 转 储 时 系统 状态 的 不 同 , 转 储 可 分 为 静态 转 储 和 动态 
转 储 。 

g@ 静态 转 储 。 静 态 转 储 是 指 在 转 储 过 程 中 ,系统 不 运行 其 他 事务 ,专门 进行 数据 转 储 
工作 。 在 静态 转 储 操作 开始 时 ,数据 库 处 于 一 致 状态 ,而 在 转 储 期 间 不 允许 其 他 事务 对 数据 
库 进行 任何 存 取 、 修 改 操作 ,数据 库 仍 处 于 一 致 状态 。 

静态 转 储 虽然 简单 ,并 且 能 够 得 到 一 个 数据 一 致 性 的 副本 ,但 是 转 储 必须 等 待 正 运行 的 
事务 结束 才能 进行 ,新 的 事务 也 必须 等 待 转 储 结束 才能 执行 ,这 就 降低 了 数据 库 的 可 用 性 。 

@ 动态 转 储 。 动 态 转 储 是 指 在 转 储 过 程 中 ,允许 其 他 事务 对 数据 库 进 行 存 取 或 修改 操 
作 的 转 储 方式 。 也 就 是 说 , 转 储 和 用 户 事务 并 发 执行 。 动 态 转 储 有 效 地 克服 了 静态 转 储 的 
缺点 , 它 不 用 等 待 正在 运行 的 事务 结束 ,也 不 会 影响 新 事务 的 开始 。 动 态 转 储 的 主要 缺点 是 
后 援 副本 中 的 数据 并 不 能 保证 正确 有 效 。 

由 于 动态 转 储 是 动态 地 进行 的 ,这 样 后 备 副本 中 存储 的 就 可 能 是 过 时 的 数据 。 因 此 ,有 
必要 把 转 储 期 间 各 事务 对 数据 库 的 修改 活动 登记 下 来 ,建立 日 志文 件 (Log File) ,使 得 后 援 
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副本 加 上 日 志文 件 能 够 把 数据 库 恢复 到 某 一 时 刻 的 正确 状态 。 

(2) 海量 转 储 和 增 量 转 储 。 

Oz 海量 转 储 。 海 量 转 储 是 指 每 次 转 储 全 部 数据 库 。 海 量 转 储 能 够 得 到 后 备 副 本 ,利用 
后 备 副本 能 够 比较 方便 地 进行 数据 恢复 工作 。 但 对 于 数据 量 大 和 更 新 频率 高 的 数据 库 , 不 
适合 频繁 地 进行 海量 转 储 。 

@ 增 量 转 储 。 增 量 转 储 是 指 每 次 只 转 储 上 一 次 转 储 后 更 新 过 的 数据 。 增 量 转 储 适 用 
于 数据 库 较 大 ,但 是 事务 处 理 又 十 分 频繁 的 数据 库 系 统 。 

由 于 数据 转 储 可 在 动态 和 静态 两 种 状态 下 进行 ,因此 数据 转 储 方法 可 以 分 为 四 类 : 动 
态 海量 转 储 ,动态 增 量 转 储 、 静 态 海量 转 储 和 静态 增 量 转 储 。 

2) 登记 日 志文 件 

(1) 日 志文 件 的 格式 和 内 容 。 

日 志文 件 是 用 来 记录 对 数据 库 的 更 新 操作 的 文件 。 不 同 的 数据 库 系 统 采用 的 日 志文 件 
格式 不 完全 相同 。 日 志文 件 主要 有 以 记录 为 单位 的 日 志文 件 和 以 数据 块 为 单位 的 日 志 
文件 。 

以 记录 为 单位 的 日 志文 件 中 需要 登记 的 内 容 包 括 : 每 个 事务 的 开始 (BEGIN 
TRANSACTION) 标 记 、 结 束 (COMMIT 或 ROLLBACK) 标 记 和 所 有 更 新 操作 ,这 些 内 容 
均 作 为 日 志文 件 中 的 一 个 日 志 记录 (Log Record) 。 对 于 更 新 操作 的 日 志 记录 ,其 内 容 主 要 
包括 事务 标识 (表明 是 哪个 事务 ) .操作 的 类 型 (插入 、 删除 或 修改 )、 操 作对 象 (记录 内 部 标 
识 ) .更 新 前 数据 的 旧 值 (插入 操作 ,该 项 为 空 ) 及 更 新 后 数据 的 新 值 (删除 操作 ,该 项 为 空 ) 。 

以 数据 块 为 单位 的 日 志文 件 内 容 包 括 事务 标识 和 更 新 的 数据 块 。 由 于 更 新 前 后 的 各 数 
据 块 都 放 人 了 日 志文 件 , 所 以 操作 的 类 型 和 操作 对 象 等 信息 就 不 必 放 入 日志 记录 。 

(2) 日 志文 件 的 作用 。 

日 志文 件 能 够 用 来 进行 事务 故障 恢复 .系统 故障 恢复 ,并 能 够 协助 后 备 副 本 进行 介质 故 
障 恢复 。 当 数据 库 文 件 毁 坏 后 ,可 重新 装 和 人 后 援 副 本 把 数据 库 恢 复 到 转 储 结束 时 刻 的 正确 
状态 ,再 利用 建立 的 日 志文 件 , 可 以 把 已 完成 的 事务 进行 重 做 处 理 ,而 对 于 故障 发 生 时 尚未 
完成 的 事务 则 进行 撤销 处 理 , 这 样 不 用 运行 应 用 程序 就 可 把 数据 库 恢 复 到 故障 前 某 一 时 刻 
的 正确 状态 。 

(3) 登记 日 志文 件 。 

为 保证 数据 库 的 可 恢复 性 ,登记 日 志文 件 时 必须 遵循 两 条 原则 : 一 是 登记 的 次 序 严格 
按 事务 执行 的 时 间 次 序 ; 二 是 必须 先 写 日 志文 件 ,后 写 数据 库 。 

把 对 数据 的 修改 写 到 数据 库 中 和 把 表示 这 个 修改 的 日 志 记 录 写 到 日 志文 件 中 是 两 个 不 
同 的 操作 。 这 两 个 写 操 作 只 完成 了 一 个 时 ,可 能 会 发 生 故 障 。 如 果 先 写 了 数据 库 修改 ,而 在 
运行 记录 中 没有 登记 这 个 修改 , 则 以 后 无 法 恢复 这 个 修改 。 如 果 先 写 日 志 , 但 没有 修改 数据 
库 , 按 日 志文 件 恢复 时 只 是 多 执行 一 次 不 必要 的 UNDO 操作 ,并 不 影响 数据 库 的 正确 性 。 
所 以 为 了 安全 ,一 定 要 先 写 日 志文 件 .后 进行 数据 库 的 更 新 操作 。 

5. 数据 库 的 镜像 

由 上 所 述 可 以 看 到 ,介质 故障 是 对 系统 影响 最 为 严重 的 一 种 故障 ,系统 出 现 介质 故障 
后 ,用 户 的 应 用 全 部 中 断 ,恢复 起 来 也 比较 费时 。 而 且 DBA 必须 周期 性 地 转 储 数据 库 , 这 
也 加 重 了 DBA 的 负担 。 如 果 不 及 时 而 正确 地 转 储 数据 库 , 一 旦 发 生 介质 故障 ,会 造成 较 大 
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的 损失 。 

随 着 磁盘 容量 越 来 越 大 ,价格 越 来 越 便宜 ,为 避免 磁盘 介质 出 现 故障 影响 数据 库 的 可 用 
性 ,许多 数据 库 管理 系统 提供 了 数据 库 镜像 (Mirror) 功 能 用 于 数据 库 恢 复 。 即 根据 DBA 的 
要 求 ,自动 把 整个 数据 库 或 其 中 的 关键 数据 复制 到 另外 一 个 磁盘 上 。 每 当主 数据 库 更 新 时 ， 
DBMS 自动 把 更 新 后 的 数据 复制 过 去 , 即 DBMS 自动 利用 镜像 磁盘 数据 进行 数据 库 的 恢 
复 , 不 需要 关闭 系统 和 重 装 数据 库 副 本 。 在 没有 出 现 故障 时 ,数据 库 镜 像 还 可 以 用 于 并 发 操 
作 , 即 当 一 个 用 户 对 数据 加 排他 锁 修 改 数据 时 ,其 他 用 户 可 以 读 取 镜像 数据 库 上 的 数据 ,而 
不 必 等 该 用 户 释放 锁 。 

由 于 数据 库 镜像 是 通过 复制 数据 实现 的 ,频繁 地 复制 数据 自然 会 减低 系统 运行 效率 , 因 
此 在 实际 应 用 中 用 户 往往 只 选择 对 关键 数据 和 日 志文 件 进行 镜像 ,而 不 是 对 整个 数据 库 进 
行 镜像 。 

保证 数据 一 致 性 是 对 数据 库 的 最 基本 的 要 求 。 事 务 是 数据 库 的 逻辑 工作 单位 ,只 要 
DBMS 能 够 保证 系统 中 一 切 事 务 的 原子 性 、 一 致 性 、 隔 离 性 和 持久 性 ,也 就 保证 了 数据 库 处 
于 一 致 状态 。 为 了 保证 事务 的 原子 性 一致 性 与 持久 性 ,DBMS 必须 对 事务 故障 .系统 故障 
和 介质 故障 进行 恢复 。 数 据 库 转 储 和 登记 日 志 是 数据 库 恢复 恢复 中 最 经 常 使 用 的 技术 。 恢 
复 的 基本 原理 就 是 利用 存储 在 后 备 副本 、 日 志文 件 和 数据 库 镜 像 中 的 元 余数 据 来 重建 数 
据 库 。 
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1. 为 什么 在 进行 系统 故障 恢复 时 , 既 需 要 做 UNDO 操作 ,又 需要 做 REDO 操作 ? 在 进 
行 介质 故障 恢复 时 ,也 需要 做 UNDO 和 REDO 操作 吗 ? 为 什么 ? 
. 检查 点 有 什么 作用 ? 建立 检查 点 对 系统 性 能 有 影响 吗 ? 
. 试 述 数 据 模型 的 概念 ,数据 模型 的 作用 和 数据 模型 的 三 个 要 素 。 
. 试 述 事务 的 概念 及 事务 的 四 个 特性 。 
. 数据 库 中 为 什么 要 有 恢复 子 系统 ? 它 的 功能 是 什么 ? 
. 数据 库 运 行 中 可 能 产生 的 故障 有 哪 几 类 ? 哪些 故障 影响 事务 的 正常 执行 ? 哪些 故 
障 破坏 数据 库 数 据 ? 
7. 数据 库 恢复 的 基本 技术 有 哪些 ? 
8. 针对 不 同 的 故障 , 试 给 出 恢复 的 策略 和 方法 。( 即 如 何 进行 事务 故障 的 恢复 ? 系统 
故障 的 恢复 ? 介质 故障 恢复 ?) 
9. 什么 是 数据 库 镜 像 ? 它 有 什么 用 途 ? 
10. 什么 是 数据 库 的 安全 性 ? 
11. 数据 库 安全 性 和 计算 机 系统 的 安全 性 有 什么 关系 ? 
12. 试 述 实现 数据 库 安全 性 控制 的 常用 方法 和 技术 。 
13. 什么 是 数据 库 中 的 自主 存 取 控制 方法 和 强制 存 取 控制 方法 ? 
14. SQL 中 提供 了 哪些 数据 控制 (自主 存 取 控制 ) 的 语句 ? 试 举 几 例 说 明 它 们 的 使 用 方法 。 
15. 为 什么 强制 存 取 控制 提供 了 更 高 级 别 的 数据 库 安全 性 ? 
16. 什么 是 数据 库 的 审计 功能 ? 为 什么 要 提供 审计 功能 ? 
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